廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東省公(gong)安廳2008年9月27日以粵公(gong)通字〔2008〕228號發布 自2008年12月1日起(qi)施行）

第一章 總則

第一條 為保(bao)護計(ji)算機信息系(xi)(xi)統(tong)安全，促(cu)進(jin)信息化建設的健康發(fa)展，貫徹落實《廣(guang)東(dong)省計(ji)算機信息系(xi)(xi)統(tong)安全保(bao)護條例》，根(gen)據有關法律法規，制定本辦法。

第二條 本辦法適用于廣(guang)東省行政區域(yu)內計算機信(xin)息系統的(de)安全保護。

第三條 縣級以上人民(min)政府公安(an)(an)機關公共(gong)信息網絡安(an)(an)全監察部門具體(ti)負(fu)責本(ben)行(xing)政區域內計算機信息系統的安(an)(an)全保(bao)護(hu)監管工作(zuo)。

第二章 安全監督

第四條 公(gong)安(an)機關公(gong)共(gong)信息網絡安(an)全(quan)監察部門對計算機信息系(xi)統安(an)全(quan)保(bao)護工作行使下(xia)列職責：

（一）監督、檢查、指(zhi)導計算機信息(xi)系統安全(quan)保護工作；

（二）組織(zhi)開展計(ji)算機(ji)信息系(xi)統安(an)全等(deng)級保護；

（三）查處計算機(ji)違法(fa)犯罪(zui)案件；

（四）組織處置(zhi)重大計算機信息系統安全事故和事件；

（五(wu)）負責計算機病(bing)毒和其(qi)他有害數據防(fang)治管理；

（六(liu)）負責(ze)計算機信(xin)息系統安全服務的(de)監督指導；

（七）負責計算(suan)機信息系統(tong)安全專用(yong)產品的(de)監督管理；

（八）負(fu)責計算機信(xin)息(xi)系統安全培訓管(guan)理；

（九）法(fa)律(lv)、法(fa)規和規章規定的其(qi)他(ta)職(zhi)責(ze)。

第五條 公安(an)機關公共(gong)信息網絡安(an)全(quan)(quan)監察(cha)部門(men)應當對計(ji)算機信息系(xi)統落(luo)實實體安(an)全(quan)(quan)、運行安(an)全(quan)(quan)、信息安(an)全(quan)(quan)和內容安(an)全(quan)(quan)措施的情況進行檢(jian)查。

對(dui)(dui)第三(san)級計算機(ji)信(xin)息(xi)(xi)系統每年至少(shao)檢(jian)(jian)查一次，對(dui)(dui)第四級計算機(ji)信(xin)息(xi)(xi)系統每半年至少(shao)檢(jian)(jian)查一次。對(dui)(dui)第五級計算機(ji)信(xin)息(xi)(xi)系統，應當會同國家指定的(de)專門(men)部(bu)門(men)進行檢(jian)(jian)查。

對其他計算機信息系統(tong)應當不定(ding)期開展檢查。

第六條 公(gong)安機關(guan)公(gong)共信息網絡安全(quan)監察部門發現計算機信息系(xi)統的安全(quan)保(bao)護(hu)等級和安全(quan)措施不符合有關(guan)規(gui)定(ding)和技術標準，或者(zhe)存在(zai)安全(quan)隱患(huan)的，應(ying)當通(tong)知運營(ying)、使用單位(wei)進行整改。

第七條 公安(an)機關公共(gong)信(xin)息(xi)網絡(luo)安(an)全監察部(bu)門應當向公眾提供報警求(qiu)助渠道，提供計算機信(xin)息(xi)系統安(an)全指導(dao)，發(fa)布安(an)全動(dong)態(tai)，開展安(an)全宣(xuan)傳。

第三章 安全保護責任

第八條 單位和(he)(he)個(ge)人(ren)應當依照有(you)關法(fa)規(gui)、規(gui)章和(he)(he)標準(zhun)，對其所(suo)有(you)、使(shi)用和(he)(he)管理的計算機信(xin)息系統承(cheng)擔相應的安全保(bao)護(hu)責(ze)任。

第九條 第二級以(yi)上(shang)計(ji)算機信息(xi)系統(tong)的運營、使用單位應當建立安全(quan)保護(hu)組織，并報所(suo)在地地級以(yi)上(shang)市人民(min)政(zheng)府公安機關(guan)公共信息(xi)網絡安全(quan)監察部(bu)門(men)備案(an)。

第十條 安(an)(an)全(quan)(quan)保(bao)護組織(zhi)保(bao)障本單(dan)位計算機(ji)信息系(xi)統的(de)(de)安(an)(an)全(quan)(quan)運(yun)行，組織(zhi)本單(dan)位計算機(ji)信息系(xi)統的(de)(de)有(you)害信息防(fang)治工(gong)作，組織(zhi)開(kai)展本單(dan)位計算機(ji)信息系(xi)統安(an)(an)全(quan)(quan)教育和(he)(he)培訓，向公安(an)(an)機(ji)關公共信息網絡(luo)安(an)(an)全(quan)(quan)監察部門(men)報告本單(dan)位計算機(ji)信息系(xi)統運(yun)行、服務和(he)(he)安(an)(an)全(quan)(quan)等情況(kuang)，及時協助公安(an)(an)機(ji)關公共信息網絡(luo)安(an)(an)全(quan)(quan)監察部門(men)查處違法(fa)犯罪(zui)和(he)(he)處置突(tu)發事件。

第十一條 互聯(lian)單(dan)位、互聯(lian)網接(jie)入服(fu)務單(dan)位、互聯(lian)網數(shu)據(ju)中心應當對接(jie)入本(ben)網絡的(de)用(yong)戶進行資格(ge)審查，確認(ren)符合(he)國家和省(sheng)有關規定后方可(ke)為其(qi)提供服(fu)務。

互(hu)聯網(wang)接入(ru)服務(wu)、信(xin)息服務(wu)單位(wei)以及(ji)互(hu)聯網(wang)數據中心應當向用戶宣傳相關法(fa)律法(fa)規，提供必要的(de)安(an)全(quan)保護措施。

第十二條 個人主(zhu)頁、博客、聊(liao)天室、點(dian)對點(dian)服務等(deng)互聯網信息服務的(de)提供單位(wei)和使用者應當(dang)依照國家和省有關規定，落實相應的(de)安全措施(shi)。

第十三條 網(wang)吧、圖書館(guan)、學校(xiao)、賓館(guan)等提供互聯網(wang)上(shang)網(wang)服(fu)務(wu)的場所應當安裝符(fu)合(he)國家(jia)規定的安全管理系統。

第十四條 互(hu)聯單(dan)位(wei)、互(hu)聯網接(jie)入服務單(dan)位(wei)以及互(hu)聯網數據中心應(ying)當每月將接(jie)入本(ben)網絡的用戶情況報地級以上市公(gong)(gong)安機關公(gong)(gong)共信息網絡安全監察部門備案(an)。

第十五條 計(ji)算機信息系(xi)統運營(ying)、使用單位應當(dang)接受公(gong)安機關公(gong)共信息網絡安全(quan)監(jian)察(cha)部(bu)門的監(jian)督、檢(jian)查、指導，如(ru)實提供(gong)安全(quan)保護有關信息、資(zi)料(liao)及數據文件，不得變相拒絕、拖延(yan)、阻礙公(gong)安機關公(gong)共信息網絡安全(quan)監(jian)察(cha)部(bu)門依法(fa)執行(xing)公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專(zhuan)用產品必須取得(de)公安部頒(ban)發(fa)的(de)銷售許可證方可銷售。

第十七條 生(sheng)產(chan)、銷售(shou)或者提供含(han)有計算機信(xin)息(xi)網(wang)(wang)絡(luo)(luo)遠程控制、密碼猜解、安全(quan)(quan)（漏洞）檢測、信(xin)息(xi)群發技術的產(chan)品和工具的，應當在領取營業執(zhi)照后(hou)30日(ri)內（沒有營業執(zhi)照的，自開辦之日(ri)起30日(ri)內）向單位(wei)所在地地級以上市人民政府公安機關(guan)公共信(xin)息(xi)網(wang)(wang)絡(luo)(luo)安全(quan)(quan)監察(cha)部門備(bei)案，填(tian)寫《廣東省計算機信(xin)息(xi)網(wang)(wang)絡(luo)(luo)安全(quan)(quan)特種(zhong)技術備(bei)案表》，并提交如下資(zi)料：

（一）單位簡況；

（二）營業執照（或其他(ta)有效證明(ming)）復印件；

（三）研(yan)發和服務(wu)管(guan)理制度；

（四）主要經營管理人員(yuan)、技術(shu)人員(yuan)和服務人員(yuan)有效證件復印件；

（五(wu)）主要產品情(qing)況。

第十八條 安(an)全保護等級為(wei)第(di)三級以上(shang)的計算(suan)機信息系統應當選用符(fu)合下列(lie)條件的安(an)全專用產品：

（一）產(chan)品(pin)研制、生產(chan)單(dan)位(wei)是由中(zhong)國公(gong)民、法(fa)人投資(zi)(zi)或者(zhe)國家投資(zi)(zi)或者(zhe)控股的，在中(zhong)華人民共和國境內具有獨(du)立的法(fa)人資(zi)(zi)格；

（二）產品(pin)的核心技(ji)術、關鍵部件具有我國自(zi)主知識(shi)產權(quan)；

（三(san)）產(chan)品(pin)研制、生產(chan)單位及其主要業(ye)務、技術人員無犯罪記錄；

（四）產(chan)品研制、生產(chan)單(dan)位聲明沒(mei)有故意留有或者設置漏洞、后門、木馬(ma)等程序和功能；

（五）對(dui)國家安全、社會秩序(xu)、公(gong)共利益不(bu)構成(cheng)危害(hai)。

第十九條 符合第十(shi)八條規定的(de)安全(quan)專用(yong)產(chan)品和生產(chan)單(dan)位(wei)應當到省公安廳公共信(xin)息(xi)網絡安全(quan)監察部門備案。

第二十條 為(wei)加強(qiang)安(an)全服(fu)(fu)務(wu)機(ji)構的指導(dao)，推動安(an)全服(fu)(fu)務(wu)質量和技術(shu)(shu)水平的提高(gao)，廣東省對從事計算機(ji)信(xin)息系統安(an)全設計、建設、檢(jian)測、評估等安(an)全服(fu)(fu)務(wu)的機(ji)構，根據其注冊資本(ben)、服(fu)(fu)務(wu)業績、技術(shu)(shu)力量、組織管理情況(kuang)實行分級指導(dao)。

第五章 安全等級測評

第二十一條 第二級以上的計算(suan)機信息系(xi)統的安全測評應當選擇(ze)符合下列條件(jian)的計算(suan)機信息系(xi)統安全等級測評機構（簡稱測評機構）承(cheng)擔：

（一）在中華人(ren)民共和國境內(nei)注(zhu)冊(ce)成立(li)（港澳臺地區除外），具有相應經(jing)營(ying)范圍的(de)營(ying)業執照，注(zhu)冊(ce)資本100萬元以上；

（二）由(you)中(zhong)國公(gong)民投資、中(zhong)國法(fa)人投資或(huo)者國家投資的(de)企事業單位（港澳(ao)臺地區除外）；

（三(san)）近3年完成的測評項目總值150萬元以(yi)上；

（四）具有計算(suan)機安全或相關專業(ye)資格證書的專業(ye)技術人(ren)員(yuan)不少于20人(ren)，其中大學(xue)本科(ke)以上學(xue)歷的人(ren)員(yuan)不少于15人(ren)；

（五）管理人(ren)員應當具有3年(nian)(nian)以上從事計(ji)算機信息系統(tong)安全(quan)(quan)技術領域企(qi)業管理工作經歷，技術負責人(ren)已獲得計(ji)算機信息系統(tong)安全(quan)(quan)技術相(xiang)關專業的高(gao)級職稱，從事安全(quan)(quan)測評工作不少于3年(nian)(nian)，無犯(fan)罪(zui)記錄；

（六）工作(zuo)人(ren)(ren)員僅限于中國公民，法人(ren)(ren)及主要業務、技術人(ren)(ren)員無犯罪(zui)記錄(lu)；

（七）具有與所承擔項(xiang)目適應(ying)的技術(shu)裝備(bei)；

（八）具有完備的保密管理(li)(li)、項目管理(li)(li)、質量(liang)管理(li)(li)、人(ren)員管理(li)(li)和培訓教育(yu)等(deng)安全管理(li)(li)制(zhi)度；

（九）對(dui)國家安全、社會秩序、公共利益不構成(cheng)威脅。

第二十二條 廣(guang)東省(sheng)對測(ce)(ce)評(ping)(ping)機構(gou)實施備案制度。符合第二十一條規定的條件，承擔(dan)第二級以上(shang)的計(ji)算(suan)機信息系統(tong)測(ce)(ce)評(ping)(ping)工作的機構(gou)應當到(dao)省(sheng)公(gong)安(an)廳公(gong)共信息網絡安(an)全監(jian)察部門備案。

第二十三條 省公(gong)(gong)安廳公(gong)(gong)共信息網絡安全監察部門(men)對已備案的測評機(ji)構進行公(gong)(gong)布(bu)。

第二十四條 測評(ping)機構應當履行下列義務：

（一）遵守國家有(you)關法律法規(gui)和(he)技術(shu)標準，提供安全、客觀(guan)、公正的(de)檢(jian)測評(ping)(ping)估服務，保證測評(ping)(ping)的(de)質量和(he)效果；

（二）保(bao)守在測(ce)評(ping)活動(dong)中知悉的國(guo)家(jia)秘密、商業(ye)秘密和個人(ren)隱私，防范測(ce)評(ping)風(feng)險；

（三）對測評人員進行安全保密(mi)教育，與其簽訂安全保密(mi)責任(ren)書(shu)，規(gui)定(ding)應(ying)當(dang)履行的(de)安全保密(mi)義務和承擔的(de)法律責任(ren)，并負(fu)責檢查落實。

第二十五條 第二(er)級以上(shang)的計算機(ji)信息(xi)系(xi)統建(jian)設完成后，使用單位應當(dang)委托符合(he)規(gui)定的測(ce)評(ping)(ping)機(ji)構安全(quan)測(ce)評(ping)(ping)合(he)格方可投入(ru)使用。測(ce)評(ping)(ping)活動應當(dang)接受(shou)公(gong)安機(ji)關公(gong)共信息(xi)網絡安全(quan)監(jian)察(cha)部門的監(jian)督。

第二十六條 計算機信息系(xi)統運營(ying)、使用單位委托(tuo)安全測評(ping)機構測評(ping)，應當提交下列資料：

（一(yi)）安全測評委托(tuo)書；

（二(er)）計(ji)算機信息系(xi)(xi)統(tong)應用需求、系(xi)(xi)統(tong)結構拓撲及說明、系(xi)(xi)統(tong)安(an)全組織結構和(he)管理制度、安(an)全保護設施(shi)設計(ji)實施(shi)方案或者(zhe)改建實施(shi)方案、系(xi)(xi)統(tong)軟件硬件和(he)信息安(an)全產品清單。

第二十七條 安(an)(an)全(quan)測(ce)評機構在(zai)收到委托(tuo)材料后，應當與(yu)委托(tuo)方協商制訂安(an)(an)全(quan)測(ce)評計劃，開展安(an)(an)全(quan)測(ce)評工作，并出具安(an)(an)全(quan)測(ce)評報(bao)告。

經測評，計算機(ji)信息系統(tong)安全狀況未達(da)到國(guo)家有關規定和標準的要求，委托單(dan)位(wei)應當根據測評報告的建議，完善計算機(ji)信息系統(tong)安全建設，并重新提(ti)出安全測評委托。

測(ce)評(ping)(ping)機(ji)構(gou)對計算機(ji)信息(xi)系(xi)統進行使用(yong)前安(an)(an)(an)(an)全測(ce)評(ping)(ping)，應當(dang)預先報告(gao)地級以上市公(gong)安(an)(an)(an)(an)機(ji)關公(gong)共信息(xi)網絡(luo)安(an)(an)(an)(an)全監察(cha)(cha)部門。安(an)(an)(an)(an)全測(ce)評(ping)(ping)報告(gao)由計算機(ji)信息(xi)系(xi)統運營、使用(yong)單(dan)位(wei)報地級以上市公(gong)安(an)(an)(an)(an)機(ji)關公(gong)共信息(xi)網絡(luo)安(an)(an)(an)(an)全監察(cha)(cha)部門。

第二十八條 第三級計算(suan)機(ji)信息(xi)系(xi)統(tong)應(ying)(ying)當每(mei)年至少進(jin)行一次安全(quan)測(ce)評(ping)，第四(si)級計算(suan)機(ji)信息(xi)系(xi)統(tong)應(ying)(ying)當每(mei)半(ban)年至少進(jin)行一次安全(quan)測(ce)評(ping)，第五級計算(suan)機(ji)信息(xi)系(xi)統(tong)應(ying)(ying)當依(yi)據特(te)殊安全(quan)要求進(jin)行安全(quan)測(ce)評(ping)。

第六章 應急處置

第二十九條 公(gong)安機(ji)(ji)關公(gong)共(gong)信(xin)息網絡(luo)安全(quan)監察(cha)部門與所(suo)在地安全(quan)服務機(ji)(ji)構(gou)、互聯網運(yun)營單位和(he)其他計算機(ji)(ji)信(xin)息系統運(yun)營、使用單位應當(dang)建立聯防機(ji)(ji)制，依(yi)法及時查(cha)處(chu)通過計算機(ji)(ji)信(xin)息系統進行的違法犯(fan)罪(zui)行為，組織處(chu)置重大突(tu)發事件。

第三十條 對(dui)計(ji)(ji)算機信(xin)息(xi)(xi)系(xi)統(tong)中發生的案件和重大安(an)全(quan)事故，計(ji)(ji)算機信(xin)息(xi)(xi)系(xi)統(tong)的運營、使用(yong)單位應當在二十四(si)小時(shi)內(nei)報告縣級以上(shang)人民政府公(gong)安(an)機關公(gong)共信(xin)息(xi)(xi)網絡安(an)全(quan)監察部門(men)，并保留有(you)關原始(shi)記錄。

第三十一條 第二級以上的計算機信息系統運營(ying)、使用單(dan)位應當制定重大突發(fa)事件應急處置預案(an)并定期實(shi)施(shi)演練。

第三十二條 計算機信息系統發(fa)生重大突發(fa)事(shi)件，有關(guan)單位應當按照(zhao)應急處(chu)置(zhi)預案的(de)(de)要(yao)求采(cai)取相(xiang)應的(de)(de)處(chu)置(zhi)措施(shi)，并(bing)服從公安機關(guan)和(he)國(guo)家指定的(de)(de)專(zhuan)門部(bu)門的(de)(de)調度。

第三十三條 地(di)級(ji)市以上人民政府公(gong)(gong)安(an)(an)機關公(gong)(gong)共信(xin)息網(wang)絡安(an)(an)全(quan)(quan)監(jian)察部門經本機關主管領導批準(zhun)，為保護(hu)計算機信(xin)息系統安(an)(an)全(quan)(quan)，在發生重大突發事件，危及國家(jia)安(an)(an)全(quan)(quan)、公(gong)(gong)共安(an)(an)全(quan)(quan)及社會穩定(ding)的緊急情況下，可以采(cai)取二十(shi)四小時內暫時停(ting)機、暫停(ting)聯網(wang)、備份(fen)數據等措施。

第七章 安全培訓

第三十四條 省公安廳、人(ren)事廳聯(lian)合成立(li)的省信息網(wang)絡安全(quan)(quan)專業(ye)技(ji)術人(ren)員繼(ji)(ji)續(xu)教育工(gong)作(zuo)領(ling)導(dao)小組(zu)，負(fu)責全(quan)(quan)省信息網(wang)絡安全(quan)(quan)專業(ye)技(ji)術人(ren)員繼(ji)(ji)續(xu)教育工(gong)作(zuo)的組(zu)織和領(ling)導(dao)。下設(she)省信息網(wang)絡安全(quan)(quan)專業(ye)技(ji)術人(ren)員繼(ji)(ji)續(xu)教育工(gong)作(zuo)辦(ban)公室，具體負(fu)責日常管理工(gong)作(zuo)。

第三十五條 下列人(ren)員(yuan)(yuan)應當參加信(xin)息網(wang)絡安(an)全專(zhuan)業(ye)技(ji)術(shu)(shu)人(ren)員(yuan)(yuan)繼續教(jiao)(jiao)育，取得省信(xin)息網(wang)絡安(an)全專(zhuan)業(ye)技(ji)術(shu)(shu)人(ren)員(yuan)(yuan)繼續教(jiao)(jiao)育工作辦公(gong)室頒發的信(xin)息網(wang)絡安(an)全專(zhuan)業(ye)技(ji)術(shu)(shu)人(ren)員(yuan)(yuan)繼續教(jiao)(jiao)育合格證(zheng)書，持證(zheng)上崗：

（一(yi)）計(ji)算機信(xin)息(xi)系統運營、使用單位信(xin)息(xi)安全管理(li)責任人、信(xin)息(xi)審查員；

（二）互聯(lian)網接入服(fu)務(wu)(wu)、數(shu)據(ju)中心(xin)服(fu)務(wu)(wu)、信息(xi)服(fu)務(wu)(wu)、上網服(fu)務(wu)(wu)提(ti)供單位(wei)安(an)全管理員(yuan)、專(zhuan)業技術(shu)人員(yuan)；

（三）安全專用產品生產單位(wei)專業(ye)技術人員；

（四）安(an)(an)全服務(wu)機(ji)構專業(ye)技術人員、安(an)(an)全服務(wu)管理人員；

（五）其(qi)他從事計算(suan)機信息(xi)系統安全保護(hu)工作(zuo)的人(ren)員。

第三十六條 信息網(wang)絡安(an)全專(zhuan)業(ye)技(ji)術(shu)人(ren)員繼續(xu)教(jiao)育由省信息網(wang)絡安(an)全專(zhuan)業(ye)技(ji)術(shu)人(ren)員繼續(xu)教(jiao)育工作辦公室授權的施教(jiao)機構(gou)負責實施。施教(jiao)機構(gou)實行統籌規劃(hua)。

第三十七條 信息(xi)網絡安全專業(ye)技(ji)術人員繼續教育培(pei)訓和考(kao)試(shi)按照有關規定進行(xing)，實(shi)行(xing)統(tong)一教學(xue)大綱(gang)，統(tong)一教材，統(tong)一考(kao)試(shi)，統(tong)一發證。

考試合格的，由省信息網(wang)絡安全(quan)專業(ye)技術人員繼續教育工(gong)作辦公室發(fa)給信息網(wang)絡安全(quan)專業(ye)技術人員繼續教育證書。

第八章 法律責任

第三十八條 違反本辦法的規(gui)定(ding)，依(yi)照有關(guan)法律(lv)、法規(gui)和規(gui)章處(chu)罰。

第九章 附則

第三十九條 本細則下(xia)列用語的(de)含(han)義：實(shi)體安全(quan)，指保護計(ji)算機信息(xi)系統的(de)環境，計(ji)算機設備、設施（含(han)網(wang)絡）以及其它(ta)(ta)媒體免遭地震、水(shui)災、火(huo)災、雷電(dian)、有害氣體和其它(ta)(ta)環境事故（如電(dian)磁污染等）破壞。

運行安(an)全，指保護(hu)計算機信息系統的信息處理過(guo)程順利進行。

信息安全，指保障(zhang)信息的完整性(xing)、保密性(xing)、可(ke)用性(xing)和可(ke)控性(xing)。

內(nei)容(rong)安全(quan)，指確保計算機信(xin)息(xi)系(xi)統中傳輸(shu)的(de)信(xin)息(xi)所承(cheng)載(zai)的(de)內(nei)容(rong)的(de)合法(fa)性。

安全(quan)（漏洞(dong)）檢測，指利(li)用計算(suan)機技術手段掃描、探測計算(suan)機信息系統安全(quan)漏洞(dong)。

第四十條 本(ben)辦(ban)法規定的(de)“以上”含(han)本(ben)數。

第四十一條 本(ben)辦(ban)法規定(ding)的有關表格(ge)和(he)證書由省公(gong)安廳(ting)制定(ding)式(shi)樣，統一監制。

第四十二條 本(ben)辦法由省公安(an)廳負責解(jie)釋。

第四十三條 本(ben)辦法自2008年12月1日起施行(xing)。