廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)安廳(ting)2008年(nian)9月(yue)27日以粵公(gong)通(tong)字(zi)〔2008〕228號(hao)發(fa)布 自(zi)2008年(nian)12月(yue)1日起施(shi)行）

第一章 總則

第一條 為保(bao)護計(ji)算機信息系統安(an)全，促進信息化建設(she)的健康發(fa)展，貫徹落實《廣東省計(ji)算機信息系統安(an)全保(bao)護條例》，根據(ju)有關(guan)法律(lv)法規，制定本辦法。

第二條 本辦法(fa)適用于廣東省(sheng)行政(zheng)區域內計算機(ji)信息(xi)系統(tong)的安全保護。

第三條 縣級以上人民(min)政府(fu)公(gong)安機(ji)關(guan)公(gong)共信(xin)息(xi)網絡安全監察(cha)部門具體負責本行政區域內計算機(ji)信(xin)息(xi)系(xi)統的安全保護(hu)監管工作(zuo)。

第二章 安全監督

第四條 公安(an)機(ji)關公共信息(xi)網絡(luo)安(an)全(quan)監察部門對計(ji)算機(ji)信息(xi)系統安(an)全(quan)保護工作行使(shi)下列職責：

（一）監督、檢查、指導計算機信(xin)息(xi)系統安全保護工作；

（二）組織開展計(ji)算機信息系統安全(quan)等級保護(hu)；

（三）查處計算機違法犯罪案件；

（四）組織處(chu)置重大計算機信息系統(tong)安(an)全事故(gu)和事件；

（五）負責計算(suan)機病毒和(he)其他有(you)害(hai)數據防治(zhi)管理；

（六(liu)）負責計(ji)算機信息系統安全(quan)服務(wu)的(de)監(jian)督指導；

（七）負責計(ji)算機信息系統(tong)安全(quan)專用產品的(de)監督管理；

（八）負責計算機信息(xi)系(xi)統安(an)全培訓管理；

（九）法(fa)律、法(fa)規和規章規定的其他職責(ze)。

第五條 公安(an)機關公共信息網絡安(an)全(quan)監察部(bu)門應當對(dui)計算機信息系統落實實體安(an)全(quan)、運行安(an)全(quan)、信息安(an)全(quan)和內容(rong)安(an)全(quan)措施(shi)的情(qing)況進行檢查。

對第三級(ji)計算機(ji)信(xin)息系(xi)統(tong)每(mei)年至少檢(jian)查(cha)(cha)一(yi)次(ci)，對第四級(ji)計算機(ji)信(xin)息系(xi)統(tong)每(mei)半年至少檢(jian)查(cha)(cha)一(yi)次(ci)。對第五級(ji)計算機(ji)信(xin)息系(xi)統(tong)，應當會同(tong)國家指定的專門部門進(jin)行檢(jian)查(cha)(cha)。

對其他計算(suan)機信息系統應當不(bu)定期開展(zhan)檢(jian)查。

第六條 公(gong)安(an)機關公(gong)共(gong)信息網絡(luo)安(an)全(quan)監察部門發現(xian)計算機信息系統(tong)的安(an)全(quan)保護等(deng)級和(he)安(an)全(quan)措施(shi)不符合有關規定和(he)技術標準，或(huo)者(zhe)存(cun)在安(an)全(quan)隱患的，應當通知運營、使(shi)用單(dan)位進行整改。

第七條 公安(an)機關公共信(xin)息網絡安(an)全監察部門應當向(xiang)公眾提供報(bao)警求助渠道，提供計算機信(xin)息系統(tong)安(an)全指導，發布安(an)全動態，開展安(an)全宣傳。

第三章 安全保護責任

第八條 單位(wei)和個人應當依照有(you)關法規、規章和標(biao)準，對其所有(you)、使用(yong)和管理(li)的計(ji)算機信息(xi)系統承擔相應的安全保(bao)護責任(ren)。

第九條 第二(er)級以上計算機(ji)信息(xi)系統的運(yun)營、使用單位(wei)應當建立安(an)全保護組織(zhi)，并(bing)報所(suo)在地(di)(di)地(di)(di)級以上市人民政府公安(an)機(ji)關(guan)公共信息(xi)網絡(luo)安(an)全監(jian)察部門備案。

第十條 安(an)(an)全(quan)保護組織保障(zhang)本單位(wei)(wei)計算機(ji)信(xin)(xin)(xin)(xin)息系(xi)統(tong)的安(an)(an)全(quan)運行，組織本單位(wei)(wei)計算機(ji)信(xin)(xin)(xin)(xin)息系(xi)統(tong)的有害(hai)信(xin)(xin)(xin)(xin)息防治工作，組織開展本單位(wei)(wei)計算機(ji)信(xin)(xin)(xin)(xin)息系(xi)統(tong)安(an)(an)全(quan)教育和(he)培訓，向公安(an)(an)機(ji)關公共信(xin)(xin)(xin)(xin)息網絡安(an)(an)全(quan)監察部門(men)(men)報告本單位(wei)(wei)計算機(ji)信(xin)(xin)(xin)(xin)息系(xi)統(tong)運行、服務和(he)安(an)(an)全(quan)等情況，及時(shi)協助公安(an)(an)機(ji)關公共信(xin)(xin)(xin)(xin)息網絡安(an)(an)全(quan)監察部門(men)(men)查處違(wei)法犯罪和(he)處置(zhi)突發事件。

第十一條 互聯單位、互聯網(wang)接(jie)入(ru)服務單位、互聯網(wang)數據(ju)中(zhong)心應當對(dui)接(jie)入(ru)本網(wang)絡的(de)用戶(hu)進行資格審查，確認(ren)符合國家和省有(you)關(guan)規定后(hou)方可為其(qi)提供服務。

互聯(lian)網接入服務、信息(xi)服務單位以及(ji)互聯(lian)網數據中心應當向用戶宣傳(chuan)相(xiang)關法律(lv)法規，提(ti)供(gong)必(bi)要的(de)安全保護措施。

第十二條 個人主頁(ye)、博(bo)客(ke)、聊天室(shi)、點對點服務(wu)等互聯網(wang)信息服務(wu)的(de)提供單(dan)位(wei)和(he)使(shi)用者應(ying)當依照國家(jia)和(he)省(sheng)有(you)關(guan)規定，落(luo)實相應(ying)的(de)安全措(cuo)施。

第十三條 網吧(ba)、圖書館(guan)、學校、賓館(guan)等提供互(hu)聯(lian)網上網服(fu)務的場所應當安裝符(fu)合國家規定的安全管理系(xi)統。

第十四條 互聯單(dan)位(wei)、互聯網(wang)接入服務單(dan)位(wei)以及互聯網(wang)數據中心應當每月將接入本網(wang)絡的用戶情況報地級以上市公安(an)(an)機關公共(gong)信息網(wang)絡安(an)(an)全監察部門備案。

第十五條 計算機(ji)信息(xi)系統(tong)運營、使(shi)用單位應當接(jie)受(shou)公(gong)安機(ji)關(guan)公(gong)共信息(xi)網(wang)絡安全(quan)監察部門(men)的監督、檢查、指導，如實(shi)提供安全(quan)保護有關(guan)信息(xi)、資料及(ji)數據文件(jian)，不得變相(xiang)拒絕、拖延、阻礙公(gong)安機(ji)關(guan)公(gong)共信息(xi)網(wang)絡安全(quan)監察部門(men)依(yi)法(fa)執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用產(chan)品(pin)必須取得公(gong)安部頒(ban)發的銷售(shou)許可證方可銷售(shou)。

第十七條 生產(chan)、銷售或者提(ti)供含(han)有計(ji)算(suan)機信(xin)息網絡(luo)遠程控制、密(mi)碼猜解、安全(quan)（漏(lou)洞）檢測(ce)、信(xin)息群發技術(shu)的(de)(de)產(chan)品和(he)工具的(de)(de)，應當在(zai)領取營業執照(zhao)(zhao)后30日(ri)內（沒有營業執照(zhao)(zhao)的(de)(de)，自(zi)開辦(ban)之日(ri)起30日(ri)內）向(xiang)單位所在(zai)地地級(ji)以上市(shi)人民政府公安機關公共信(xin)息網絡(luo)安全(quan)監察部門備(bei)(bei)案(an)，填寫(xie)《廣東(dong)省計(ji)算(suan)機信(xin)息網絡(luo)安全(quan)特種技術(shu)備(bei)(bei)案(an)表(biao)》，并提(ti)交如下資料：

（一）單位簡況；

（二）營業(ye)執照(zhao)（或其他有效證(zheng)明）復印件；

（三）研發(fa)和服務管(guan)理制度；

（四(si)）主要經營管理人員(yuan)、技術(shu)人員(yuan)和(he)服務人員(yuan)有效(xiao)證(zheng)件(jian)復印件(jian)；

（五(wu)）主要產(chan)品情(qing)況。

第十八條 安全保護等級(ji)(ji)為(wei)第三級(ji)(ji)以上的(de)計算機信(xin)息(xi)系統應當選用符合下列條件的(de)安全專用產品：

（一）產(chan)品(pin)研制、生產(chan)單位(wei)是由中國公(gong)民、法人(ren)投資(zi)或(huo)者(zhe)國家(jia)投資(zi)或(huo)者(zhe)控股的，在中華人(ren)民共(gong)和國境(jing)內具有(you)獨立的法人(ren)資(zi)格；

（二）產(chan)品的核心(xin)技術、關鍵部件具有(you)我國自主(zhu)知(zhi)識產(chan)權；

（三(san)）產品(pin)研制、生產單位及(ji)其(qi)主要業務、技術(shu)人員無犯罪記錄(lu)；

（四）產(chan)品研(yan)制、生產(chan)單位(wei)聲明(ming)沒有(you)故意(yi)留有(you)或者設置(zhi)漏洞、后門(men)、木(mu)馬(ma)等程序和(he)功能(neng)；

（五）對國家安全、社會(hui)秩序、公共利益(yi)不(bu)構成危害(hai)。

第十九條 符合第(di)十(shi)八條(tiao)規定的安(an)全專用產品和生產單位應當到省(sheng)公(gong)安(an)廳(ting)公(gong)共(gong)信息網(wang)絡安(an)全監察部(bu)門備案。

第二十條 為加強安(an)全服(fu)務(wu)機構(gou)的(de)指(zhi)(zhi)導，推動安(an)全服(fu)務(wu)質量和技術水平的(de)提高，廣東省對從(cong)事計(ji)(ji)算機信(xin)息系統安(an)全設(she)計(ji)(ji)、建設(she)、檢測、評估(gu)等(deng)安(an)全服(fu)務(wu)的(de)機構(gou)，根據其注冊資本(ben)、服(fu)務(wu)業(ye)績、技術力量、組織管理(li)情(qing)況實行分級指(zhi)(zhi)導。

第五章 安全等級測評

第二十一條 第(di)二級以上的(de)計算機(ji)(ji)(ji)信息系統的(de)安(an)全(quan)測評(ping)(ping)應當選擇符合下列(lie)條件的(de)計算機(ji)(ji)(ji)信息系統安(an)全(quan)等級測評(ping)(ping)機(ji)(ji)(ji)構（簡稱測評(ping)(ping)機(ji)(ji)(ji)構）承(cheng)擔：

（一）在中(zhong)華人(ren)民(min)共和國(guo)境(jing)內注冊(ce)(ce)成立（港澳(ao)臺地區(qu)除外(wai)），具有相(xiang)應經營范圍的營業執照，注冊(ce)(ce)資本100萬元以上；

（二）由中國(guo)公(gong)民投(tou)資(zi)(zi)、中國(guo)法人投(tou)資(zi)(zi)或者國(guo)家(jia)投(tou)資(zi)(zi)的企事(shi)業(ye)單位（港澳(ao)臺地區除外）；

（三）近3年(nian)完成的測(ce)評項目(mu)總值150萬元以上；

（四）具(ju)有(you)計算機安全或相關專業資格(ge)證(zheng)書的專業技術人(ren)(ren)(ren)員不少于20人(ren)(ren)(ren)，其中大學本科以(yi)上學歷的人(ren)(ren)(ren)員不少于15人(ren)(ren)(ren)；

（五）管理人(ren)員應(ying)當具有3年以上從事計算機信(xin)息系統(tong)安(an)全技(ji)術領域企(qi)業管理工作經歷(li)，技(ji)術負責人(ren)已獲得(de)計算機信(xin)息系統(tong)安(an)全技(ji)術相(xiang)關專業的高(gao)級職稱，從事安(an)全測評工作不少于3年，無犯(fan)罪(zui)記錄；

（六）工作人員僅限于中(zhong)國公民，法人及(ji)主(zhu)要業務、技術(shu)人員無(wu)犯罪記錄；

（七(qi)）具有與所承(cheng)擔項目適(shi)應的技(ji)術裝(zhuang)備；

（八）具有(you)完備(bei)的保(bao)密管理、項目(mu)管理、質量管理、人員管理和培(pei)訓教育等安全管理制度；

（九(jiu)）對國家安全、社會(hui)秩(zhi)序、公共利(li)益不構成威脅。

第二十二條 廣東(dong)省對測評(ping)機構實施(shi)備案制度。符合第二十(shi)一條(tiao)規定的條(tiao)件，承擔(dan)第二級(ji)以上(shang)的計算機信(xin)息系統測評(ping)工(gong)作的機構應當到省公安廳公共信(xin)息網絡安全監察部門備案。

第二十三條 省公安(an)廳公共信息(xi)網絡安(an)全監察部門對已(yi)備(bei)案的測評(ping)機構(gou)進行公布。

第二十四條 測(ce)評機構(gou)應當履行下列義務：

（一）遵守國家有關(guan)法律(lv)法規(gui)和技(ji)術標準，提供安(an)全、客觀(guan)、公正(zheng)的檢測評(ping)(ping)估服(fu)務，保證測評(ping)(ping)的質(zhi)量和效(xiao)果；

（二）保守在測評(ping)活(huo)動(dong)中知(zhi)悉的(de)國家秘密(mi)、商業秘密(mi)和個人(ren)隱私(si)，防(fang)范測評(ping)風(feng)險；

（三(san)）對(dui)測評(ping)人(ren)員進行安全保(bao)(bao)密教(jiao)育，與其(qi)簽訂(ding)安全保(bao)(bao)密責任(ren)書，規定應(ying)當履行的(de)安全保(bao)(bao)密義務和承擔(dan)的(de)法(fa)律責任(ren)，并(bing)負責檢查落實。

第二十五條 第二級以上的(de)(de)計算機信息系統建設完成后，使用單位(wei)應當委托符合規定的(de)(de)測(ce)評(ping)機構安(an)全測(ce)評(ping)合格方可投入使用。測(ce)評(ping)活動應當接(jie)受公安(an)機關公共信息網(wang)絡安(an)全監(jian)察部門的(de)(de)監(jian)督(du)。

第二十六條 計(ji)算機信息系(xi)統運(yun)營(ying)、使用(yong)單位(wei)委托安全測評機構測評，應(ying)當提交下列資(zi)料：

（一）安全測評委托(tuo)書；

（二）計算(suan)機信息(xi)系統應(ying)用需(xu)求(qiu)、系統結(jie)構拓撲及說明、系統安(an)全(quan)(quan)組織(zhi)結(jie)構和管理制度、安(an)全(quan)(quan)保(bao)護設施(shi)(shi)設計實施(shi)(shi)方案(an)(an)或者改建(jian)實施(shi)(shi)方案(an)(an)、系統軟件硬件和信息(xi)安(an)全(quan)(quan)產(chan)品清單。

第二十七條 安全(quan)(quan)測(ce)(ce)(ce)評機構在收到委托材(cai)料后，應(ying)當與委托方協商制訂安全(quan)(quan)測(ce)(ce)(ce)評計(ji)劃，開展安全(quan)(quan)測(ce)(ce)(ce)評工作，并出具安全(quan)(quan)測(ce)(ce)(ce)評報(bao)告。

經測評(ping)(ping)，計(ji)算機信息(xi)(xi)系統(tong)(tong)安全狀況未達到國(guo)家有關規定和標準(zhun)的(de)要求，委托單位(wei)應當根據測評(ping)(ping)報告(gao)的(de)建議，完(wan)善計(ji)算機信息(xi)(xi)系統(tong)(tong)安全建設，并(bing)重新提出安全測評(ping)(ping)委托。

測評(ping)(ping)機構對(dui)計算機信(xin)(xin)息(xi)系統進行使(shi)用前安(an)(an)全測評(ping)(ping)，應當預先報(bao)告(gao)地級以(yi)上市公安(an)(an)機關公共信(xin)(xin)息(xi)網(wang)絡安(an)(an)全監察(cha)部門。安(an)(an)全測評(ping)(ping)報(bao)告(gao)由計算機信(xin)(xin)息(xi)系統運營、使(shi)用單位報(bao)地級以(yi)上市公安(an)(an)機關公共信(xin)(xin)息(xi)網(wang)絡安(an)(an)全監察(cha)部門。

第二十八條 第(di)三級(ji)計算(suan)(suan)(suan)機信(xin)息系統(tong)應當(dang)(dang)每(mei)年至(zhi)少(shao)(shao)進行(xing)(xing)一次安(an)全(quan)測評(ping)，第(di)四級(ji)計算(suan)(suan)(suan)機信(xin)息系統(tong)應當(dang)(dang)每(mei)半年至(zhi)少(shao)(shao)進行(xing)(xing)一次安(an)全(quan)測評(ping)，第(di)五級(ji)計算(suan)(suan)(suan)機信(xin)息系統(tong)應當(dang)(dang)依據(ju)特殊(shu)安(an)全(quan)要求進行(xing)(xing)安(an)全(quan)測評(ping)。

第六章 應急處置

第二十九條 公安機(ji)關(guan)公共(gong)信息網(wang)絡(luo)安全(quan)監察部門(men)與所在地(di)安全(quan)服務機(ji)構、互聯網(wang)運營單(dan)位(wei)和其他計算機(ji)信息系統(tong)運營、使用單(dan)位(wei)應當建立(li)聯防機(ji)制，依法及時查處(chu)通(tong)過(guo)計算機(ji)信息系統(tong)進行(xing)的違法犯罪行(xing)為，組(zu)織處(chu)置重大突發事件。

第三十條 對計算(suan)機(ji)信息系統中(zhong)發生的(de)案件和重(zhong)大安(an)全事故，計算(suan)機(ji)信息系統的(de)運營(ying)、使用單位應當在(zai)二十四小時內報(bao)告(gao)縣級以上(shang)人民(min)政府(fu)公(gong)安(an)機(ji)關(guan)公(gong)共信息網絡安(an)全監察部門，并保留有關(guan)原始(shi)記錄。

第三十一條 第(di)二級以上的計(ji)算機信(xin)息(xi)系(xi)統(tong)運營(ying)、使用單(dan)位應(ying)(ying)當制定(ding)重大突發事件(jian)應(ying)(ying)急處(chu)置預案并定(ding)期(qi)實施(shi)演練(lian)。

第三十二條 計算(suan)機信(xin)息系統發(fa)生重大(da)突(tu)發(fa)事件，有關單位應(ying)(ying)當按照應(ying)(ying)急處置(zhi)預案(an)的(de)要求采取相(xiang)應(ying)(ying)的(de)處置(zhi)措施，并服從公安機關和(he)國家指定的(de)專門(men)部門(men)的(de)調(diao)度。

第三十三條 地級市以上人民政府(fu)公(gong)(gong)安(an)機關(guan)公(gong)(gong)共信(xin)息網(wang)絡安(an)全(quan)(quan)監察(cha)部門經本機關(guan)主管領導批準，為保(bao)護計算機信(xin)息系統安(an)全(quan)(quan)，在(zai)發(fa)生重(zhong)大(da)突(tu)發(fa)事(shi)件，危及國家(jia)安(an)全(quan)(quan)、公(gong)(gong)共安(an)全(quan)(quan)及社會穩定的(de)緊急情況下，可以采取二十四小時內暫時停機、暫停聯網(wang)、備份數據等措施。

第七章 安全培訓

第三十四條 省公(gong)安廳、人(ren)事廳聯合成立的省信(xin)(xin)息(xi)網(wang)絡安全專(zhuan)業技術(shu)人(ren)員(yuan)繼續教(jiao)育(yu)工(gong)作(zuo)(zuo)領導(dao)小組，負(fu)(fu)責(ze)全省信(xin)(xin)息(xi)網(wang)絡安全專(zhuan)業技術(shu)人(ren)員(yuan)繼續教(jiao)育(yu)工(gong)作(zuo)(zuo)的組織和領導(dao)。下設省信(xin)(xin)息(xi)網(wang)絡安全專(zhuan)業技術(shu)人(ren)員(yuan)繼續教(jiao)育(yu)工(gong)作(zuo)(zuo)辦公(gong)室(shi)，具體負(fu)(fu)責(ze)日常管理工(gong)作(zuo)(zuo)。

第三十五條 下(xia)列人(ren)員(yuan)(yuan)應當(dang)參加信息網(wang)絡(luo)安全專(zhuan)業技術人(ren)員(yuan)(yuan)繼續(xu)教育，取得省信息網(wang)絡(luo)安全專(zhuan)業技術人(ren)員(yuan)(yuan)繼續(xu)教育工作(zuo)辦公室頒(ban)發(fa)的信息網(wang)絡(luo)安全專(zhuan)業技術人(ren)員(yuan)(yuan)繼續(xu)教育合格(ge)證(zheng)書，持證(zheng)上崗：

（一）計算機信息(xi)系(xi)統運營(ying)、使用單位信息(xi)安全(quan)管理責(ze)任人(ren)、信息(xi)審查員(yuan)；

（二(er)）互聯網(wang)接入服務、數據中心服務、信息服務、上(shang)網(wang)服務提供單位安全管理員、專業(ye)技(ji)術人員；

（三）安全專(zhuan)用產品生產單(dan)位專(zhuan)業技(ji)術人員；

（四）安(an)全(quan)服務機(ji)構專業技(ji)術(shu)人(ren)員、安(an)全(quan)服務管理人(ren)員；

（五(wu)）其他從(cong)事計算機信(xin)息系統安全保護工作的人員(yuan)。

第三十六條 信息網絡安全專業(ye)(ye)技(ji)術(shu)人員繼續(xu)教育由省信息網絡安全專業(ye)(ye)技(ji)術(shu)人員繼續(xu)教育工作(zuo)辦公室授權的施教機構負(fu)責實(shi)施。施教機構實(shi)行統籌規劃(hua)。

第三十七條 信息網絡安全專業技術人員繼續教育培訓和(he)考(kao)試(shi)按(an)照有(you)關(guan)規定進行(xing)，實行(xing)統(tong)(tong)一教學(xue)大(da)綱，統(tong)(tong)一教材，統(tong)(tong)一考(kao)試(shi)，統(tong)(tong)一發證。

考試合格的，由省信息(xi)網(wang)絡安全專業(ye)技術(shu)人員繼續教育工作(zuo)辦公(gong)室發給(gei)信息(xi)網(wang)絡安全專業(ye)技術(shu)人員繼續教育證書。

第八章 法律責任

第三十八條 違(wei)反本辦法的(de)規定，依照有關(guan)法律、法規和規章處罰(fa)。

第九章 附則

第三十九條 本細(xi)則(ze)下列用(yong)語的(de)含義：實(shi)體安全，指保護計(ji)算機信息(xi)系統的(de)環(huan)境(jing)(jing)，計(ji)算機設備、設施（含網絡）以及其(qi)它媒體免遭(zao)地震、水災、火(huo)災、雷電、有(you)害(hai)氣體和其(qi)它環(huan)境(jing)(jing)事故（如電磁(ci)污(wu)染等）破壞。

運行安全，指(zhi)保(bao)護計算機信息系統的信息處理(li)過(guo)程順利(li)進行。

信息(xi)安全，指保障信息(xi)的完整性(xing)(xing)、保密性(xing)(xing)、可用(yong)性(xing)(xing)和(he)可控(kong)性(xing)(xing)。

內容安全，指確保計算機信息系統中傳(chuan)輸(shu)的信息所承載(zai)的內容的合法性。

安(an)(an)全(quan)（漏洞(dong)）檢測(ce)，指利用(yong)計算機技術(shu)手段掃描、探測(ce)計算機信息系統安(an)(an)全(quan)漏洞(dong)。

第四十條 本辦法規定的(de)“以上”含本數。

第四十一條 本(ben)辦法(fa)規(gui)定的有關表格和證書由省(sheng)公安廳制定式(shi)樣，統一(yi)監制。

第四十二條 本辦法由省公安廳(ting)負責解釋。

第四十三條 本辦法自(zi)2008年12月1日起施行(xing)。