廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年9月(yue)27日(ri)以粵公通字〔2008〕228號發布 自2008年12月(yue)1日(ri)起施行(xing)）

第一章 總則

第一條 為保護計(ji)算(suan)機信息(xi)系(xi)統安全(quan)，促(cu)進信息(xi)化(hua)建設(she)的(de)健康發展，貫(guan)徹落實《廣東(dong)省計(ji)算(suan)機信息(xi)系(xi)統安全(quan)保護條(tiao)例》，根據有關(guan)法律法規(gui)，制定本辦法。

第二條 本辦法適(shi)用于(yu)廣東省行政(zheng)區域內(nei)計算機信息系統的安全保護(hu)。

第三條 縣級以上人民政府公安(an)機關公共信息網絡安(an)全(quan)監察部門具體負(fu)責本行政區域內計算機信息系統的(de)安(an)全(quan)保護監管工作。

第二章 安全監督

第四條 公安機(ji)關公共信息網(wang)絡(luo)安全(quan)監察部門(men)對計算機(ji)信息系統安全(quan)保(bao)護工作行使下列職責：

（一(yi)）監(jian)督(du)、檢查、指導計算(suan)機信息系統安全(quan)保(bao)護工作；

（二）組織(zhi)開展計算機信息(xi)系統安全(quan)等級保護；

（三）查處計算機違(wei)法(fa)犯罪案件(jian)；

（四(si)）組織處置重大計(ji)算機信(xin)息系統安全事(shi)故和事(shi)件；

（五）負(fu)責計算機(ji)病毒和其他有害數(shu)據(ju)防治管理；

（六(liu)）負責計算機信息系統(tong)安全服(fu)務的監督指導；

（七(qi)）負責(ze)計算(suan)機信(xin)息(xi)系統安全專用產品(pin)的(de)監(jian)督(du)管理；

（八）負責(ze)計算機信息(xi)系(xi)統安全培訓管理；

（九(jiu)）法(fa)律、法(fa)規和規章規定的其他職責。

第五條 公(gong)安(an)(an)機(ji)關公(gong)共信息網絡安(an)(an)全(quan)監察部門應當對(dui)計算(suan)機(ji)信息系(xi)統落實(shi)實(shi)體安(an)(an)全(quan)、運行安(an)(an)全(quan)、信息安(an)(an)全(quan)和內容安(an)(an)全(quan)措施的情況進行檢查。

對(dui)第(di)三級(ji)計算(suan)機信息(xi)系(xi)統(tong)每年至少(shao)(shao)檢(jian)查一次，對(dui)第(di)四級(ji)計算(suan)機信息(xi)系(xi)統(tong)每半年至少(shao)(shao)檢(jian)查一次。對(dui)第(di)五級(ji)計算(suan)機信息(xi)系(xi)統(tong)，應當會同(tong)國(guo)家(jia)指定的專門部門進行檢(jian)查。

對其他計算(suan)機信(xin)息系(xi)統應(ying)當不定期開展檢(jian)查。

第六條 公(gong)安(an)機關(guan)公(gong)共信(xin)息網絡安(an)全監察部門發現計算機信(xin)息系(xi)統的安(an)全保護等(deng)級和(he)安(an)全措施(shi)不符合(he)有(you)關(guan)規(gui)定和(he)技術標準，或者存在安(an)全隱患的，應當通知(zhi)運營、使用單位進行(xing)整(zheng)改。

第七條 公安機關公共信(xin)息(xi)網絡安全(quan)監察部門應(ying)當向(xiang)公眾提(ti)供報警求助渠道，提(ti)供計(ji)算機信(xin)息(xi)系(xi)統(tong)安全(quan)指導，發布安全(quan)動態，開展安全(quan)宣(xuan)傳。

第三章 安全保護責任

第八條 單位(wei)和個人應當(dang)依照有關法規、規章和標準(zhun)，對其(qi)所(suo)有、使用和管理的計算機信(xin)息(xi)系統承(cheng)擔(dan)相應的安全(quan)保護責(ze)任。

第九條 第二(er)級以上計算機(ji)信息系統的(de)運營、使用單位應當建立(li)安全保護組(zu)織(zhi)，并報(bao)所在地地級以上市人(ren)民政(zheng)府公(gong)安機(ji)關公(gong)共信息網絡安全監(jian)察部(bu)門備(bei)案(an)。

第十條 安(an)(an)全保護(hu)組織保障本(ben)單(dan)位(wei)(wei)計算(suan)機(ji)(ji)信息系(xi)統(tong)的(de)安(an)(an)全運行，組織本(ben)單(dan)位(wei)(wei)計算(suan)機(ji)(ji)信息系(xi)統(tong)的(de)有害(hai)信息防治工作，組織開(kai)展(zhan)本(ben)單(dan)位(wei)(wei)計算(suan)機(ji)(ji)信息系(xi)統(tong)安(an)(an)全教育和(he)(he)培訓(xun)，向(xiang)公(gong)安(an)(an)機(ji)(ji)關(guan)公(gong)共信息網絡安(an)(an)全監察(cha)部(bu)門報告本(ben)單(dan)位(wei)(wei)計算(suan)機(ji)(ji)信息系(xi)統(tong)運行、服(fu)務(wu)和(he)(he)安(an)(an)全等情況，及時協助公(gong)安(an)(an)機(ji)(ji)關(guan)公(gong)共信息網絡安(an)(an)全監察(cha)部(bu)門查處違(wei)法犯(fan)罪和(he)(he)處置(zhi)突(tu)發事件。

第十一條 互聯單位、互聯網接(jie)入(ru)服務單位、互聯網數據(ju)中心應當對接(jie)入(ru)本網絡(luo)的用戶進行資(zi)格審(shen)查，確認符(fu)合國家和省有關規(gui)定后(hou)方可為其(qi)提(ti)供服務。

互(hu)聯網接(jie)入服務(wu)、信(xin)息服務(wu)單位以(yi)及互(hu)聯網數據中心(xin)應(ying)當(dang)向用戶(hu)宣傳相關法(fa)律(lv)法(fa)規，提供必要(yao)的安全保護措施(shi)。

第十二條 個人主頁(ye)、博客、聊天室、點(dian)對(dui)點(dian)服務(wu)等互聯(lian)網信息服務(wu)的提供單位和(he)使用(yong)者(zhe)應當依照國家和(he)省(sheng)有關規定，落實相應的安全(quan)措施。

第十三條 網吧、圖書館(guan)、學校、賓館(guan)等提供互聯網上網服務(wu)的場所應當安裝符合國(guo)家規定的安全管理系(xi)統(tong)。

第十四條 互聯單(dan)位、互聯網接(jie)入服務單(dan)位以(yi)(yi)及(ji)互聯網數據(ju)中(zhong)心(xin)應當每月將(jiang)接(jie)入本網絡(luo)的用戶情況報(bao)地級以(yi)(yi)上(shang)市(shi)公安機(ji)關(guan)公共信(xin)息網絡(luo)安全監察部門備案。

第十五條 計算機信息系統運營、使用(yong)單(dan)位(wei)應(ying)當接(jie)受公(gong)安機關公(gong)共信息網絡安全監(jian)察(cha)部門(men)的監(jian)督、檢(jian)查(cha)、指導，如實提(ti)供安全保(bao)護有(you)關信息、資料及(ji)數據文件，不得變相拒絕、拖延、阻礙公(gong)安機關公(gong)共信息網絡安全監(jian)察(cha)部門(men)依(yi)法執(zhi)行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品必須取得公安部頒發的銷(xiao)售(shou)許可證方可銷(xiao)售(shou)。

第十七條 生(sheng)產、銷(xiao)售或者提供含有計(ji)算(suan)機信(xin)息(xi)網絡(luo)遠(yuan)程(cheng)控制(zhi)、密(mi)碼猜解、安(an)全(quan)（漏(lou)洞）檢測、信(xin)息(xi)群發技術的(de)(de)產品和工具的(de)(de)，應當在領取營業(ye)執照后30日內(nei)（沒有營業(ye)執照的(de)(de)，自(zi)開辦(ban)之日起30日內(nei)）向單(dan)位所在地地級以(yi)上市人民政(zheng)府(fu)公安(an)機關(guan)公共信(xin)息(xi)網絡(luo)安(an)全(quan)監察部門備(bei)案(an)，填(tian)寫《廣東(dong)省計(ji)算(suan)機信(xin)息(xi)網絡(luo)安(an)全(quan)特(te)種技術備(bei)案(an)表(biao)》，并提交如(ru)下資(zi)料(liao)：

（一）單位簡況；

（二）營業執照（或其他有效證(zheng)明）復印件(jian)；

（三）研發和服務管理制(zhi)度(du)；

（四）主(zhu)要經營管理人(ren)員、技術人(ren)員和服務人(ren)員有(you)效(xiao)證件(jian)復印件(jian)；

（五）主要(yao)產品情況。

第十八條 安全(quan)保護等級為第三級以(yi)上(shang)的計算機信息系統應當(dang)選用符合下列條件的安全(quan)專用產品：

（一）產品(pin)研制、生產單位是由(you)中國公(gong)民、法(fa)人投資或(huo)者(zhe)(zhe)國家投資或(huo)者(zhe)(zhe)控股的，在(zai)中華(hua)人民共和國境內具有獨(du)立(li)的法(fa)人資格；

（二）產(chan)品的核心技術、關(guan)鍵部件具(ju)有我國自主知識產(chan)權；

（三）產品研(yan)制、生產單位及其主要(yao)業務、技術人(ren)員(yuan)無(wu)犯罪記(ji)錄；

（四）產(chan)品(pin)研制、生產(chan)單位聲明沒(mei)有故意留有或者設置漏(lou)洞、后門、木馬等程序和(he)功(gong)能；

（五）對國家安全、社會秩(zhi)序、公共利益不構成危害。

第十九條 符(fu)合(he)第十八條規定的(de)安全專(zhuan)用產品和生(sheng)產單位(wei)應當到省公安廳(ting)公共信息(xi)網絡安全監察部門(men)備案。

第二十條 為(wei)加(jia)強安全(quan)服務(wu)(wu)(wu)機構(gou)的(de)指導，推動安全(quan)服務(wu)(wu)(wu)質量(liang)和(he)技(ji)術(shu)水平的(de)提高，廣東省(sheng)對從(cong)事計算機信息系統(tong)安全(quan)設(she)(she)計、建(jian)設(she)(she)、檢測、評估等安全(quan)服務(wu)(wu)(wu)的(de)機構(gou)，根據其注冊資本、服務(wu)(wu)(wu)業績、技(ji)術(shu)力量(liang)、組織管理情況實行分(fen)級指導。

第五章 安全等級測評

第二十一條 第(di)二級以上(shang)的計算機(ji)(ji)(ji)信(xin)息系統的安全(quan)測評應當選擇符合(he)下(xia)列(lie)條件的計算機(ji)(ji)(ji)信(xin)息系統安全(quan)等級測評機(ji)(ji)(ji)構（簡稱(cheng)測評機(ji)(ji)(ji)構）承(cheng)擔：

（一）在中華人民共和(he)國境內注冊成立（港(gang)澳臺地區除外），具有相應(ying)經營范圍(wei)的營業執照，注冊資本(ben)100萬元以上；

（二）由(you)中(zhong)國公民投(tou)資、中(zhong)國法人投(tou)資或(huo)者國家投(tou)資的企(qi)事業單位(wei)（港(gang)澳臺地區除外(wai)）；

（三）近3年完成的(de)測評項目總值150萬元以上；

（四）具有計算機(ji)安(an)全或(huo)相關(guan)專業(ye)資格證書的專業(ye)技術人員不少于(yu)20人，其中大學本科(ke)以上學歷(li)的人員不少于(yu)15人；

（五）管理(li)人員應當具有3年(nian)以(yi)上(shang)從(cong)事(shi)計算機信(xin)息(xi)系統(tong)(tong)安(an)全技(ji)(ji)術(shu)領域企業管理(li)工作(zuo)經歷(li)，技(ji)(ji)術(shu)負責人已獲得計算機信(xin)息(xi)系統(tong)(tong)安(an)全技(ji)(ji)術(shu)相關專業的高級職(zhi)稱(cheng)，從(cong)事(shi)安(an)全測評工作(zuo)不少于3年(nian)，無犯罪記錄；

（六(liu)）工作人員(yuan)僅(jin)限于中國公(gong)民，法人及主(zhu)要業務、技術人員(yuan)無犯罪記錄；

（七）具(ju)有與所承擔項目適應的(de)技(ji)術裝(zhuang)備；

（八）具有完備的保密管理(li)、項目管理(li)、質量管理(li)、人員管理(li)和(he)培(pei)訓(xun)教育等安全管理(li)制度；

（九(jiu)）對國(guo)家安全、社會秩序、公共利益不構成(cheng)威(wei)脅(xie)。

第二十二條 廣東省對測評機構(gou)實施備案(an)制度(du)。符合第(di)二十(shi)一條規定的(de)條件，承擔(dan)第(di)二級以上的(de)計(ji)算(suan)機信息(xi)系統測評工作的(de)機構(gou)應當到省公(gong)(gong)安廳公(gong)(gong)共信息(xi)網絡(luo)安全監察部門(men)備案(an)。

第二十三條 省(sheng)公(gong)安廳(ting)公(gong)共(gong)信息網絡安全監察部門對已備案的測評(ping)機構(gou)進行(xing)公(gong)布。

第二十四條 測評機構應當履行下列義務：

（一(yi)）遵(zun)守國家有關法律法規和技術標準(zhun)，提供安全(quan)、客觀(guan)、公正的檢測(ce)評估服務(wu)，保證測(ce)評的質量和效果；

（二）保(bao)守(shou)在測(ce)評活(huo)動中知(zhi)悉的(de)國家(jia)秘(mi)密、商業秘(mi)密和(he)個人隱私，防范測(ce)評風險(xian)；

（三）對(dui)測評人員進行(xing)安全保密(mi)教育(yu)，與其簽(qian)訂安全保密(mi)責(ze)任(ren)書，規(gui)定應當(dang)履行(xing)的安全保密(mi)義務和(he)承擔的法(fa)律責(ze)任(ren)，并(bing)負責(ze)檢查(cha)落實。

第二十五條 第二級(ji)以上的計算機(ji)信息系統建設完成后，使用單(dan)位應(ying)當委托符(fu)合規定的測評機(ji)構(gou)安全測評合格方可投入使用。測評活動(dong)應(ying)當接受公安機(ji)關公共(gong)信息網(wang)絡(luo)安全監察部門的監督。

第二十六條 計算機信息(xi)系統運營、使(shi)用單位(wei)委托安全測評(ping)機構測評(ping)，應當提交下(xia)列資料：

（一(yi)）安全測評委托(tuo)書；

（二）計算(suan)機(ji)信息系(xi)(xi)統(tong)應用需求、系(xi)(xi)統(tong)結構拓撲及說(shuo)明、系(xi)(xi)統(tong)安(an)全組織結構和管(guan)理制度、安(an)全保護設施設計實(shi)(shi)施方案(an)(an)或者改(gai)建實(shi)(shi)施方案(an)(an)、系(xi)(xi)統(tong)軟件硬(ying)件和信息安(an)全產(chan)品清(qing)單。

第二十七條 安(an)全(quan)測評(ping)機構在收到委托材料后，應當與委托方協商(shang)制訂安(an)全(quan)測評(ping)計劃，開展安(an)全(quan)測評(ping)工作(zuo)，并(bing)出具(ju)安(an)全(quan)測評(ping)報(bao)告。

經測評(ping)，計算機信(xin)息系(xi)統(tong)安(an)(an)全狀(zhuang)況(kuang)未達到國家(jia)有(you)關規定和標準(zhun)的(de)要求，委托(tuo)單位(wei)應當(dang)根據測評(ping)報(bao)告(gao)的(de)建(jian)議，完善計算機信(xin)息系(xi)統(tong)安(an)(an)全建(jian)設，并(bing)重(zhong)新提出安(an)(an)全測評(ping)委托(tuo)。

測(ce)評機構對計(ji)算機信息(xi)系統進行使(shi)用(yong)前(qian)安全(quan)測(ce)評，應(ying)當預先報告地級以上(shang)市(shi)公安機關公共(gong)信息(xi)網(wang)絡安全(quan)監察(cha)部(bu)門。安全(quan)測(ce)評報告由計(ji)算機信息(xi)系統運營、使(shi)用(yong)單(dan)位報地級以上(shang)市(shi)公安機關公共(gong)信息(xi)網(wang)絡安全(quan)監察(cha)部(bu)門。

第二十八條 第三級(ji)計算機信息(xi)系統應(ying)當每年(nian)至少進(jin)行一次(ci)安(an)全(quan)(quan)測(ce)評(ping)，第四級(ji)計算機信息(xi)系統應(ying)當每半年(nian)至少進(jin)行一次(ci)安(an)全(quan)(quan)測(ce)評(ping)，第五(wu)級(ji)計算機信息(xi)系統應(ying)當依據特(te)殊安(an)全(quan)(quan)要求進(jin)行安(an)全(quan)(quan)測(ce)評(ping)。

第六章 應急處置

第二十九條 公(gong)安機(ji)(ji)關公(gong)共信息網(wang)絡安全監察部門與(yu)所在(zai)地(di)安全服務機(ji)(ji)構(gou)、互聯網(wang)運營(ying)(ying)單(dan)位(wei)和其他計算(suan)機(ji)(ji)信息系(xi)統(tong)運營(ying)(ying)、使用單(dan)位(wei)應當建立聯防機(ji)(ji)制，依(yi)法及時查處通過計算(suan)機(ji)(ji)信息系(xi)統(tong)進行的違法犯(fan)罪行為，組織處置重大突(tu)發事(shi)件。

第三十條 對計算機信息(xi)系(xi)統中發生(sheng)的(de)案件(jian)和重大安全事(shi)故，計算機信息(xi)系(xi)統的(de)運(yun)營、使(shi)用單位應當在二十四小時內報告縣級以(yi)上人(ren)民政府公安機關公共信息(xi)網絡安全監察(cha)部門(men)，并保留有關原始(shi)記錄。

第三十一條 第二級(ji)以上的計算機信(xin)息系(xi)統運(yun)營、使(shi)用(yong)單位應當制定(ding)重(zhong)大突發(fa)事件(jian)應急處置預案(an)并(bing)定(ding)期實施演練。

第三十二條 計算機(ji)信(xin)息系統發生重大突發事件，有(you)關單(dan)位應當按照應急處置(zhi)預案的要求采取相(xiang)應的處置(zhi)措施，并服從公安機(ji)關和國(guo)家指定的專門(men)部(bu)門(men)的調度。

第三十三條 地級市以(yi)上人民政府(fu)公安(an)機關(guan)公共信息(xi)網(wang)絡安(an)全(quan)監(jian)察部門(men)經本機關(guan)主管領導批準(zhun)，為保護計算機信息(xi)系統(tong)安(an)全(quan)，在發生重(zhong)大突(tu)發事(shi)件，危(wei)及國(guo)家(jia)安(an)全(quan)、公共安(an)全(quan)及社會穩定的緊急(ji)情況(kuang)下，可(ke)以(yi)采取二十四小時(shi)內(nei)暫時(shi)停機、暫停聯網(wang)、備份(fen)數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公安廳、人(ren)事廳聯合成立的省(sheng)信(xin)(xin)(xin)息(xi)(xi)網絡安全專(zhuan)業(ye)技(ji)術(shu)人(ren)員繼續(xu)(xu)教(jiao)育(yu)(yu)工(gong)作領導小組(zu)，負(fu)(fu)責全省(sheng)信(xin)(xin)(xin)息(xi)(xi)網絡安全專(zhuan)業(ye)技(ji)術(shu)人(ren)員繼續(xu)(xu)教(jiao)育(yu)(yu)工(gong)作的組(zu)織和領導。下設省(sheng)信(xin)(xin)(xin)息(xi)(xi)網絡安全專(zhuan)業(ye)技(ji)術(shu)人(ren)員繼續(xu)(xu)教(jiao)育(yu)(yu)工(gong)作辦公室，具體負(fu)(fu)責日常(chang)管(guan)理工(gong)作。

第三十五條 下列(lie)人員應當參加信息網絡安全(quan)專業技(ji)(ji)(ji)術(shu)人員繼(ji)續(xu)教(jiao)育(yu)，取得省信息網絡安全(quan)專業技(ji)(ji)(ji)術(shu)人員繼(ji)續(xu)教(jiao)育(yu)工作(zuo)辦公室頒發的(de)信息網絡安全(quan)專業技(ji)(ji)(ji)術(shu)人員繼(ji)續(xu)教(jiao)育(yu)合格證書，持證上崗：

（一）計算機(ji)信(xin)息系統運營、使用單位信(xin)息安(an)全管理(li)責任人(ren)、信(xin)息審查員；

（二）互聯網(wang)(wang)接入服務(wu)、數據中心服務(wu)、信息服務(wu)、上網(wang)(wang)服務(wu)提(ti)供單(dan)位安全管理員、專業技(ji)術人員；

（三）安(an)全專用產(chan)品生產(chan)單位專業技術人員；

（四）安全服(fu)務(wu)(wu)機構專業技術人員、安全服(fu)務(wu)(wu)管理人員；

（五(wu)）其(qi)他從事計算(suan)機信息系統(tong)安全保護工作的(de)人(ren)員(yuan)。

第三十六條 信息網絡安全(quan)專(zhuan)業(ye)技術人員繼續教(jiao)育由省信息網絡安全(quan)專(zhuan)業(ye)技術人員繼續教(jiao)育工作辦公室授權(quan)的(de)施(shi)(shi)教(jiao)機(ji)構負責實(shi)施(shi)(shi)。施(shi)(shi)教(jiao)機(ji)構實(shi)行統籌規劃。

第三十七條 信息網絡安全(quan)專業技(ji)術人員繼續教(jiao)育(yu)培訓和考試按照有(you)關(guan)規定進行，實(shi)行統一教(jiao)學(xue)大綱，統一教(jiao)材，統一考試，統一發證。

考試(shi)合格的，由省信息網絡安(an)全(quan)專(zhuan)業(ye)技術人(ren)員繼(ji)續教育(yu)工作辦(ban)公室(shi)發給信息網絡安(an)全(quan)專(zhuan)業(ye)技術人(ren)員繼(ji)續教育(yu)證書。

第八章 法律責任

第三十八條 違反本辦(ban)法(fa)(fa)的規定(ding)，依(yi)照(zhao)有關法(fa)(fa)律、法(fa)(fa)規和規章(zhang)處罰。

第九章 附則

第三十九條 本(ben)細則(ze)下(xia)列用語的(de)含義：實體安全，指保(bao)護計算(suan)機信(xin)息系(xi)統的(de)環境，計算(suan)機設備(bei)、設施（含網絡）以(yi)及其(qi)它媒體免遭(zao)地震、水災、火災、雷電(dian)、有害氣體和其(qi)它環境事故(gu)（如電(dian)磁(ci)污(wu)染等）破壞。

運行(xing)安全，指保護計算機信(xin)息(xi)系統的信(xin)息(xi)處(chu)理過程順利進(jin)行(xing)。

信息安全，指保(bao)障(zhang)信息的完整性(xing)、保(bao)密性(xing)、可用性(xing)和可控性(xing)。

內(nei)容安全(quan)，指(zhi)確保計算機信(xin)(xin)息系統中傳輸(shu)的信(xin)(xin)息所承載(zai)的內(nei)容的合法(fa)性(xing)。

安全(quan)（漏洞）檢測，指利用計(ji)算機技(ji)術(shu)手段掃描(miao)、探測計(ji)算機信息系統安全(quan)漏洞。

第四十條 本(ben)辦法規(gui)定的(de)“以上”含本(ben)數。

第四十一條 本(ben)辦法規定(ding)的(de)有關表格和證(zheng)書由省公安廳制定(ding)式(shi)樣，統一監(jian)制。

第四十二條 本(ben)辦法由省(sheng)公安廳負責(ze)解釋(shi)。

第四十三條 本辦(ban)法自2008年12月1日(ri)起施行。