廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東(dong)省(sheng)公(gong)安廳2008年9月(yue)27日(ri)(ri)以粵公(gong)通字〔2008〕228號發布(bu) 自2008年12月(yue)1日(ri)(ri)起(qi)施行(xing)）

第一章 總則

第一條 為(wei)保護計算機(ji)信息系統安全，促進信息化建設的健康發展(zhan)，貫(guan)徹落實《廣東省計算機(ji)信息系統安全保護條(tiao)例》，根(gen)據有(you)關法(fa)(fa)律法(fa)(fa)規，制定(ding)本辦法(fa)(fa)。

第二條 本(ben)辦(ban)法(fa)適用(yong)于廣東省行政區域內計算(suan)機信息系統的(de)安全(quan)保護。

第三條 縣級以(yi)上人民政府公(gong)安(an)機(ji)關公(gong)共信息(xi)網絡安(an)全監(jian)察(cha)部門具體負責本行政區域(yu)內計算(suan)機(ji)信息(xi)系統的(de)安(an)全保護監(jian)管工(gong)作。

第二章 安全監督

第四條 公(gong)安機關公(gong)共信(xin)(xin)息網絡安全(quan)(quan)監察部門對計算機信(xin)(xin)息系統安全(quan)(quan)保(bao)護工作(zuo)行使下列職責(ze)：

（一）監督、檢(jian)查(cha)、指導計算機信息系(xi)統安全保護工作；

（二）組織開(kai)展(zhan)計(ji)算機信息系統(tong)安(an)全等級(ji)保護；

（三）查處(chu)計算機違法犯罪案(an)件；

（四）組織處置重大計算(suan)機信息系統(tong)安全事故和事件；

（五）負(fu)責(ze)計算機病毒和其他(ta)有害數據防治管理；

（六）負(fu)責計算機(ji)信息(xi)系統安全服務(wu)的監督指導(dao)；

（七(qi)）負責計(ji)算機信(xin)息系統安全專用(yong)產品(pin)的監督管理；

（八）負責計算機信(xin)息系統安全培訓管理；

（九(jiu)）法律(lv)、法規(gui)和規(gui)章(zhang)規(gui)定的其(qi)他職(zhi)責。

第五條 公安(an)機關公共信息(xi)(xi)網絡(luo)安(an)全監察部門應當對計算機信息(xi)(xi)系統落實實體安(an)全、運行(xing)安(an)全、信息(xi)(xi)安(an)全和內容安(an)全措施(shi)的情況進行(xing)檢(jian)查。

對(dui)第三級計(ji)(ji)算(suan)機信息系(xi)統每(mei)(mei)年(nian)至少(shao)檢(jian)查(cha)一次，對(dui)第四級計(ji)(ji)算(suan)機信息系(xi)統每(mei)(mei)半年(nian)至少(shao)檢(jian)查(cha)一次。對(dui)第五級計(ji)(ji)算(suan)機信息系(xi)統，應當會(hui)同國家(jia)指定的專門(men)部門(men)進行(xing)檢(jian)查(cha)。

對其他計算機信(xin)息系統應當不(bu)定(ding)期(qi)開展檢查。

第六條 公(gong)安(an)機(ji)關公(gong)共信(xin)息網(wang)絡安(an)全監察部門(men)發現計算機(ji)信(xin)息系統的(de)安(an)全保護等級和(he)安(an)全措施不符合有關規(gui)定和(he)技(ji)術標準，或者存在安(an)全隱患的(de)，應(ying)當通知運營、使用(yong)單位進行整改。

第七條 公安(an)機關公共信息網絡安(an)全(quan)監察部門應當向(xiang)公眾提供報警求助渠道，提供計算機信息系統安(an)全(quan)指導，發布安(an)全(quan)動態，開展(zhan)安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單位和個(ge)人(ren)應(ying)當依照有(you)關(guan)法規、規章和標準，對其所(suo)有(you)、使用和管(guan)理的計算機信息系統承擔相應(ying)的安全保(bao)護責任(ren)。

第九條 第二級以上計算機信息系(xi)統(tong)的運營、使用單位應當建立安(an)全(quan)保護組織，并報(bao)所在地地級以上市人民(min)政府公安(an)機關(guan)公共信息網(wang)絡安(an)全(quan)監(jian)察部(bu)門備案(an)。

第十條 安(an)全(quan)保(bao)(bao)護組織(zhi)保(bao)(bao)障(zhang)本(ben)(ben)單位計算(suan)機(ji)信(xin)(xin)(xin)息系統的安(an)全(quan)運行(xing)(xing)，組織(zhi)本(ben)(ben)單位計算(suan)機(ji)信(xin)(xin)(xin)息系統的有害信(xin)(xin)(xin)息防治(zhi)工作，組織(zhi)開展本(ben)(ben)單位計算(suan)機(ji)信(xin)(xin)(xin)息系統安(an)全(quan)教育和(he)培(pei)訓，向公安(an)機(ji)關公共信(xin)(xin)(xin)息網絡安(an)全(quan)監(jian)察部門(men)報(bao)告(gao)本(ben)(ben)單位計算(suan)機(ji)信(xin)(xin)(xin)息系統運行(xing)(xing)、服務和(he)安(an)全(quan)等情況，及時協助公安(an)機(ji)關公共信(xin)(xin)(xin)息網絡安(an)全(quan)監(jian)察部門(men)查處違法犯罪(zui)和(he)處置突發事(shi)件。

第十一條 互聯(lian)(lian)(lian)單位、互聯(lian)(lian)(lian)網接(jie)(jie)入服務單位、互聯(lian)(lian)(lian)網數據中心應當對接(jie)(jie)入本網絡的用(yong)戶進行資(zi)格(ge)審查(cha)，確(que)認符合(he)國家和省(sheng)有(you)關(guan)規定后方可為其提供服務。

互(hu)聯(lian)(lian)網接入服(fu)務、信息(xi)服(fu)務單位以及互(hu)聯(lian)(lian)網數(shu)據中心應當向用戶宣傳相關法律(lv)法規(gui)，提供必(bi)要的安(an)全保護措施(shi)。

第十二條 個人(ren)主頁、博客、聊天(tian)室(shi)、點對點服務(wu)等互聯網信息服務(wu)的提供(gong)單位和使(shi)用者應當依照國家和省(sheng)有關規定(ding)，落實相(xiang)應的安全措施。

第十三條 網(wang)(wang)吧(ba)、圖書館(guan)、學校、賓館(guan)等提供互聯網(wang)(wang)上網(wang)(wang)服務(wu)的場所應當安裝(zhuang)符合國(guo)家規(gui)定的安全管理系統。

第十四條 互聯單位(wei)、互聯網(wang)接(jie)入服務單位(wei)以及互聯網(wang)數據中心應當每月將接(jie)入本(ben)網(wang)絡(luo)(luo)的用戶情(qing)況報地(di)級(ji)以上市公(gong)(gong)安機關公(gong)(gong)共信息網(wang)絡(luo)(luo)安全監察(cha)部門備案。

第十五條 計算機信(xin)息(xi)系統運營(ying)、使用單位(wei)應(ying)當接(jie)受公(gong)安(an)(an)機關公(gong)共(gong)信(xin)息(xi)網絡(luo)安(an)(an)全監(jian)察(cha)部(bu)門的監(jian)督、檢查(cha)、指導，如實提供安(an)(an)全保(bao)護有(you)關信(xin)息(xi)、資料及數據文(wen)件，不得變相拒(ju)絕、拖延、阻礙公(gong)安(an)(an)機關公(gong)共(gong)信(xin)息(xi)網絡(luo)安(an)(an)全監(jian)察(cha)部(bu)門依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專用產品必須取得公安(an)部頒發的銷(xiao)售許可證(zheng)方可銷(xiao)售。

第十七條 生產、銷售或者提供含有(you)計算機信(xin)息(xi)(xi)(xi)網絡遠程(cheng)控制、密碼猜(cai)解(jie)、安(an)全（漏洞）檢測、信(xin)息(xi)(xi)(xi)群發(fa)技(ji)術的產品(pin)和(he)工具的，應當在(zai)領取營業(ye)執照(zhao)后(hou)30日(ri)內(nei)（沒有(you)營業(ye)執照(zhao)的，自開辦(ban)之(zhi)日(ri)起30日(ri)內(nei)）向單位(wei)所在(zai)地(di)地(di)級以上市人民政府公安(an)機關(guan)公共信(xin)息(xi)(xi)(xi)網絡安(an)全監(jian)察部門備案，填寫《廣東(dong)省計算機信(xin)息(xi)(xi)(xi)網絡安(an)全特(te)種技(ji)術備案表》，并提交如下資料：

（一）單位簡況；

（二）營業執照（或其他(ta)有效證(zheng)明）復印件；

（三）研發和服務管理制度；

（四(si)）主要經營(ying)管理人(ren)員、技術人(ren)員和服(fu)務人(ren)員有效(xiao)證(zheng)件復印件；

（五）主要產品(pin)情(qing)況(kuang)。

第十八條 安全保護(hu)等(deng)級為第三級以上的計算機(ji)信息系統應當選用符合下(xia)列條件的安全專用產品：

（一(yi)）產品研制、生產單位是由(you)中(zhong)國公(gong)民、法人(ren)投資或(huo)者(zhe)國家投資或(huo)者(zhe)控股的，在中(zhong)華(hua)人(ren)民共(gong)和(he)國境內具有(you)獨立(li)的法人(ren)資格；

（二）產(chan)品的核心技術、關鍵部件具有我(wo)國自(zi)主知識產(chan)權；

（三）產品研制、生產單位(wei)及其主要業務、技術人員無犯罪記錄(lu)；

（四）產品研制、生產單位聲明沒有(you)故意(yi)留有(you)或(huo)者設置漏洞、后門、木馬等(deng)程序(xu)和(he)功能；

（五）對國家安全、社會秩序、公共(gong)利益不構成(cheng)危害(hai)。

第十九條 符合(he)第十八條(tiao)規定的安(an)全(quan)專用產(chan)品和生產(chan)單位應當到省公安(an)廳公共信(xin)息網絡安(an)全(quan)監察(cha)部門備案。

第二十條 為加強安(an)全服(fu)務(wu)(wu)機構(gou)的指(zhi)導(dao)，推(tui)動安(an)全服(fu)務(wu)(wu)質(zhi)量(liang)和(he)技術水平(ping)的提高，廣東省對從事計(ji)算機信息系統安(an)全設(she)計(ji)、建設(she)、檢測、評估等(deng)安(an)全服(fu)務(wu)(wu)的機構(gou)，根據其注冊資本、服(fu)務(wu)(wu)業績、技術力(li)量(liang)、組織(zhi)管(guan)理情況(kuang)實行分級指(zhi)導(dao)。

第五章 安全等級測評

第二十一條 第二級(ji)以上(shang)的(de)計(ji)算機信(xin)息(xi)系(xi)統的(de)安(an)全測(ce)(ce)(ce)評(ping)應當選(xuan)擇符合下列條件的(de)計(ji)算機信(xin)息(xi)系(xi)統安(an)全等級(ji)測(ce)(ce)(ce)評(ping)機構（簡(jian)稱(cheng)測(ce)(ce)(ce)評(ping)機構）承擔：

（一）在中(zhong)華人(ren)民共和國境內注冊成立（港澳臺地區除外），具(ju)有(you)相應經營范圍的營業執照，注冊資本100萬(wan)元(yuan)以上；

（二）由中(zhong)國(guo)公民投資、中(zhong)國(guo)法人投資或(huo)者國(guo)家投資的企事(shi)業單(dan)位（港(gang)澳臺(tai)地區除(chu)外）；

（三）近3年完(wan)成(cheng)的測評項目總值150萬元以(yi)上；

（四）具有計(ji)算(suan)機安全或相關專業資格證書的專業技術人(ren)員不少于20人(ren)，其中(zhong)大學本(ben)科(ke)以上學歷(li)的人(ren)員不少于15人(ren)；

（五(wu)）管理人(ren)員應當具有3年(nian)以上從(cong)(cong)事計(ji)算機(ji)信(xin)息系(xi)(xi)統安(an)全(quan)技(ji)術(shu)領域企業管理工作(zuo)經(jing)歷，技(ji)術(shu)負責(ze)人(ren)已獲(huo)得計(ji)算機(ji)信(xin)息系(xi)(xi)統安(an)全(quan)技(ji)術(shu)相關專業的高級職(zhi)稱，從(cong)(cong)事安(an)全(quan)測(ce)評工作(zuo)不少于3年(nian)，無犯罪記錄(lu)；

（六）工作人(ren)員僅限于中國公民，法(fa)人(ren)及主要業務、技(ji)術人(ren)員無犯罪記錄；

（七）具有(you)與所承擔項目適應(ying)的技術裝備；

（八）具有(you)完備的保密管(guan)(guan)理(li)(li)、項目管(guan)(guan)理(li)(li)、質量管(guan)(guan)理(li)(li)、人員管(guan)(guan)理(li)(li)和培訓教(jiao)育(yu)等安(an)全管(guan)(guan)理(li)(li)制度；

（九）對(dui)國(guo)家安全、社會秩序、公共利益不構成威脅。

第二十二條 廣東省對(dui)測評機構實施備(bei)案制(zhi)度。符合第二十一條規定的條件，承擔第二級以(yi)上(shang)的計算(suan)機信(xin)息(xi)系統測評工作的機構應(ying)當(dang)到省公安(an)廳公共信(xin)息(xi)網絡安(an)全監察部門備(bei)案。

第二十三條 省公(gong)安(an)廳(ting)公(gong)共(gong)信(xin)息網絡(luo)安(an)全監察部門對已備案(an)的測評機構進行公(gong)布。

第二十四條 測評機(ji)構應(ying)當履(lv)行下列義務：

（一）遵(zun)守國家有(you)關法(fa)律法(fa)規(gui)和技術標(biao)準，提供安全、客觀、公(gong)正的(de)檢測評(ping)估服務，保證測評(ping)的(de)質量(liang)和效(xiao)果；

（二）保守在(zai)測(ce)評活動中知悉的國家秘(mi)密(mi)、商(shang)業秘(mi)密(mi)和個(ge)人隱私，防范測(ce)評風(feng)險；

（三）對測評人員進行安全保密教(jiao)育，與其簽訂(ding)安全保密責(ze)任書(shu)，規(gui)定(ding)應當履行的安全保密義務和承擔的法律責(ze)任，并負責(ze)檢查落(luo)實。

第二十五條 第二級以(yi)上的計算機(ji)信息系統建(jian)設完(wan)成(cheng)后，使用單位(wei)應(ying)當委托符合(he)規定(ding)的測評機(ji)構(gou)安(an)全(quan)測評合(he)格方可投入(ru)使用。測評活動應(ying)當接受公安(an)機(ji)關公共信息網絡安(an)全(quan)監(jian)察部(bu)門的監(jian)督。

第二十六條 計算(suan)機信息系統運(yun)營、使用單位委托安全測評機構測評，應當提(ti)交(jiao)下列資料：

（一）安全測評委托書(shu)；

（二）計算機信息系(xi)統(tong)應用(yong)需求、系(xi)統(tong)結構(gou)拓撲及說明、系(xi)統(tong)安全(quan)(quan)組織結構(gou)和管理制度(du)、安全(quan)(quan)保護設施設計實(shi)施方案或(huo)者(zhe)改建實(shi)施方案、系(xi)統(tong)軟件硬件和信息安全(quan)(quan)產(chan)品清單。

第二十七條 安(an)(an)全(quan)測(ce)(ce)評(ping)機(ji)構在收到委托材料后，應當與委托方協商制訂安(an)(an)全(quan)測(ce)(ce)評(ping)計劃(hua)，開(kai)展安(an)(an)全(quan)測(ce)(ce)評(ping)工(gong)作，并出(chu)具安(an)(an)全(quan)測(ce)(ce)評(ping)報告。

經測(ce)評(ping)，計算機(ji)信(xin)息(xi)(xi)系統(tong)安全狀況未達到國(guo)家有(you)關規(gui)定和標(biao)準的(de)要求，委托單(dan)位應當根據測(ce)評(ping)報告的(de)建議，完善計算機(ji)信(xin)息(xi)(xi)系統(tong)安全建設，并重新提出安全測(ce)評(ping)委托。

測(ce)評(ping)機(ji)構對計(ji)算機(ji)信(xin)息(xi)(xi)系統進行使(shi)用前安(an)(an)全測(ce)評(ping)，應(ying)當預先報告地(di)級以上市公(gong)安(an)(an)機(ji)關公(gong)共信(xin)息(xi)(xi)網絡安(an)(an)全監察部門。安(an)(an)全測(ce)評(ping)報告由計(ji)算機(ji)信(xin)息(xi)(xi)系統運營、使(shi)用單(dan)位報地(di)級以上市公(gong)安(an)(an)機(ji)關公(gong)共信(xin)息(xi)(xi)網絡安(an)(an)全監察部門。

第二十八條 第三級(ji)計算(suan)機信息系統(tong)(tong)應(ying)當每(mei)年(nian)至少進行一次安(an)(an)全測評(ping)(ping)，第四(si)級(ji)計算(suan)機信息系統(tong)(tong)應(ying)當每(mei)半(ban)年(nian)至少進行一次安(an)(an)全測評(ping)(ping)，第五級(ji)計算(suan)機信息系統(tong)(tong)應(ying)當依(yi)據(ju)特殊安(an)(an)全要(yao)求(qiu)進行安(an)(an)全測評(ping)(ping)。

第六章 應急處置

第二十九條 公安機(ji)關公共(gong)信(xin)息網絡安全監察部門(men)與所在地安全服務機(ji)構、互聯網運(yun)營單位和(he)其他計算(suan)(suan)機(ji)信(xin)息系(xi)統運(yun)營、使用單位應當建(jian)立聯防機(ji)制，依(yi)法(fa)及(ji)時(shi)查(cha)處通過計算(suan)(suan)機(ji)信(xin)息系(xi)統進行(xing)的違法(fa)犯罪行(xing)為(wei)，組織處置重大突發事件(jian)。

第三十條 對計(ji)算(suan)機(ji)(ji)信息(xi)系(xi)統中發生的案件和重大安(an)全事故(gu)，計(ji)算(suan)機(ji)(ji)信息(xi)系(xi)統的運營、使用單位(wei)應當在二十四小時內報(bao)告縣級以上人民政府公(gong)安(an)機(ji)(ji)關(guan)公(gong)共信息(xi)網絡安(an)全監察部門，并保留(liu)有關(guan)原始(shi)記錄(lu)。

第三十一條 第(di)二級(ji)以(yi)上的計算機信息系統運營、使(shi)用單(dan)位應當制定重大突(tu)發事件應急處置預案并定期(qi)實施演練。

第三十二條 計算機信息(xi)系統發生重大突發事件，有關單位應(ying)(ying)當按照應(ying)(ying)急處(chu)置(zhi)預案的要(yao)求(qiu)采(cai)取(qu)相(xiang)應(ying)(ying)的處(chu)置(zhi)措施，并(bing)服從公安機關和國家指定的專門(men)部門(men)的調度(du)。

第三十三條 地(di)級市(shi)以上人民政府公安機(ji)關公共(gong)(gong)信息(xi)網絡安全監察(cha)部門經(jing)本機(ji)關主管(guan)領(ling)導批準，為(wei)保護計(ji)算機(ji)信息(xi)系(xi)統安全，在發生重大突發事件，危及(ji)(ji)國(guo)家安全、公共(gong)(gong)安全及(ji)(ji)社會穩定(ding)的緊急情況(kuang)下，可以采(cai)取(qu)二十四小時內暫時停(ting)機(ji)、暫停(ting)聯網、備(bei)份數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公(gong)安廳、人(ren)事(shi)廳聯合成(cheng)立的(de)(de)省(sheng)信息(xi)網絡安全(quan)專(zhuan)業(ye)技術(shu)人(ren)員繼(ji)續(xu)教育工作(zuo)領導小組(zu)，負(fu)責(ze)全(quan)省(sheng)信息(xi)網絡安全(quan)專(zhuan)業(ye)技術(shu)人(ren)員繼(ji)續(xu)教育工作(zuo)的(de)(de)組(zu)織和領導。下設省(sheng)信息(xi)網絡安全(quan)專(zhuan)業(ye)技術(shu)人(ren)員繼(ji)續(xu)教育工作(zuo)辦公(gong)室，具(ju)體負(fu)責(ze)日常管理工作(zuo)。

第三十五條 下列人員(yuan)應當參加信息(xi)網絡安全專(zhuan)業(ye)技(ji)術(shu)人員(yuan)繼(ji)續教育，取得省信息(xi)網絡安全專(zhuan)業(ye)技(ji)術(shu)人員(yuan)繼(ji)續教育工作辦(ban)公(gong)室頒發(fa)的信息(xi)網絡安全專(zhuan)業(ye)技(ji)術(shu)人員(yuan)繼(ji)續教育合格證(zheng)書，持證(zheng)上崗：

（一）計算(suan)機信(xin)(xin)息系統運營(ying)、使用單位信(xin)(xin)息安全管理責任人、信(xin)(xin)息審查員(yuan)；

（二）互聯網接入服(fu)務(wu)(wu)(wu)、數據中(zhong)心服(fu)務(wu)(wu)(wu)、信息(xi)服(fu)務(wu)(wu)(wu)、上(shang)網服(fu)務(wu)(wu)(wu)提供單(dan)位安全管理員、專業技術人員；

（三）安(an)全專用產品生產單位專業技(ji)術(shu)人員；

（四(si)）安(an)全(quan)服務機(ji)構專業技術人員(yuan)、安(an)全(quan)服務管理(li)人員(yuan)；

（五）其他從(cong)事計算機信息系統安全保護工作的人員(yuan)。

第三十六條 信息(xi)網絡(luo)安全(quan)專業(ye)技(ji)術人(ren)(ren)員(yuan)繼(ji)續教育(yu)由省信息(xi)網絡(luo)安全(quan)專業(ye)技(ji)術人(ren)(ren)員(yuan)繼(ji)續教育(yu)工(gong)作辦公(gong)室授權的施教機構負責實施。施教機構實行統籌規劃。

第三十七條 信息網絡安全專業(ye)技術人(ren)員繼續教育培(pei)訓和考試按照有關(guan)規(gui)定進(jin)行，實行統一教學大(da)綱，統一教材，統一考試，統一發證。

考試合格的，由省信息網絡安全專(zhuan)業技術人員繼(ji)續教(jiao)育(yu)工(gong)作辦公室發給信息網絡安全專(zhuan)業技術人員繼(ji)續教(jiao)育(yu)證書。

第八章 法律責任

第三十八條 違反本辦(ban)法(fa)(fa)的規定，依照有關法(fa)(fa)律、法(fa)(fa)規和規章處罰。

第九章 附則

第三十九條 本(ben)細則下(xia)列用(yong)語的含義：實體(ti)安全，指(zhi)保護計(ji)算機信息系統(tong)的環境(jing)，計(ji)算機設(she)備、設(she)施（含網絡(luo)）以(yi)及其它媒(mei)體(ti)免遭地(di)震、水(shui)災、火災、雷電(dian)、有害氣體(ti)和其它環境(jing)事(shi)故(gu)（如電(dian)磁污(wu)染等）破壞。

運(yun)行安全，指保護計算機(ji)信(xin)息(xi)系統的信(xin)息(xi)處理過程順利進行。

信息安全，指保障信息的完整性、保密(mi)性、可(ke)用性和可(ke)控性。

內容安全，指確保計算機信息系統中傳輸的(de)信息所(suo)承載的(de)內容的(de)合法性。

安(an)全(quan)（漏(lou)(lou)洞(dong)）檢(jian)測(ce)，指利用計算(suan)機技(ji)術手段掃描、探測(ce)計算(suan)機信息(xi)系統安(an)全(quan)漏(lou)(lou)洞(dong)。

第四十條 本(ben)辦(ban)法規(gui)定(ding)的“以(yi)上”含本(ben)數。

第四十一條 本辦法(fa)規定的有(you)關表格和證(zheng)書由省(sheng)公安(an)廳制定式樣，統(tong)一(yi)監制。

第四十二條 本(ben)辦法由省公安廳負責解釋。

第四十三條 本辦法自2008年12月1日起(qi)施行。