廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)安(an)廳(ting)2008年9月(yue)27日以粵公(gong)通字〔2008〕228號(hao)發(fa)布 自2008年12月(yue)1日起施行(xing)）

第一章 總則

第一條 為保護計算(suan)機信息系(xi)統安(an)全，促進(jin)信息化建設的健康發(fa)展，貫徹落實(shi)《廣東省計算(suan)機信息系(xi)統安(an)全保護條例(li)》，根據有關法(fa)律法(fa)規，制(zhi)定本辦法(fa)。

第二條 本辦法適用于廣東省行政區域內計算機信息系統(tong)的安全保(bao)護。

第三條 縣級以上人民政(zheng)府(fu)公(gong)安機(ji)關公(gong)共(gong)信息網絡安全(quan)監察(cha)部門(men)具(ju)體負責本行政(zheng)區域內計算機(ji)信息系統的安全(quan)保護監管工(gong)作。

第二章 安全監督

第四條 公(gong)安(an)機關公(gong)共信(xin)息網絡安(an)全監察部門對計算(suan)機信(xin)息系統安(an)全保護工作行使(shi)下列(lie)職責(ze)：

（一）監(jian)督、檢(jian)查、指導計算機信息(xi)系統安全保護工作(zuo)；

（二(er)）組織開展(zhan)計算(suan)機信息(xi)系統安全(quan)等級保護(hu)；

（三）查處計算機違法犯罪案件；

（四）組織處(chu)置(zhi)重大計算機信息(xi)系統安全事(shi)故和事(shi)件；

（五）負責計(ji)算(suan)機病毒和其他有害(hai)數據防治管理(li)；

（六）負責(ze)計算機信息系統安全服務的(de)監督指導(dao)；

（七）負(fu)責計算機信息系(xi)統安(an)全(quan)專(zhuan)用產品的監(jian)督管理(li)；

（八）負(fu)責(ze)計算機信息(xi)系(xi)統安全(quan)培訓(xun)管理；

（九）法律、法規和規章規定的其他職責。

第五條 公(gong)(gong)安(an)(an)機(ji)關公(gong)(gong)共信息網絡安(an)(an)全(quan)監察部門應當對計(ji)算機(ji)信息系(xi)統落實(shi)實(shi)體安(an)(an)全(quan)、運行(xing)安(an)(an)全(quan)、信息安(an)(an)全(quan)和(he)內(nei)容安(an)(an)全(quan)措施的情況進行(xing)檢查(cha)。

對(dui)(dui)第(di)(di)(di)三級計算機(ji)信息(xi)系統(tong)每年(nian)至少檢(jian)(jian)查(cha)(cha)一(yi)次(ci)，對(dui)(dui)第(di)(di)(di)四級計算機(ji)信息(xi)系統(tong)每半年(nian)至少檢(jian)(jian)查(cha)(cha)一(yi)次(ci)。對(dui)(dui)第(di)(di)(di)五級計算機(ji)信息(xi)系統(tong)，應(ying)當會同國(guo)家(jia)指(zhi)定的(de)專門(men)部門(men)進行(xing)檢(jian)(jian)查(cha)(cha)。

對其(qi)他計算機信息系統應(ying)當不(bu)定(ding)期(qi)開展檢(jian)查。

第六條 公安機關公共信息網絡安全(quan)(quan)監察部門發(fa)現計算機信息系統的(de)安全(quan)(quan)保護(hu)等級和(he)安全(quan)(quan)措施不符合(he)有(you)關規定(ding)和(he)技術標準，或(huo)者存在安全(quan)(quan)隱患的(de)，應當通知運(yun)營、使用單位進行整改。

第七條 公安(an)(an)機關公共信息(xi)網絡安(an)(an)全(quan)監察部門應(ying)當向公眾提供報警(jing)求助(zhu)渠道(dao)，提供計算機信息(xi)系統安(an)(an)全(quan)指(zhi)導，發布安(an)(an)全(quan)動態，開展安(an)(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單位和個(ge)人(ren)應當依照有(you)關法規、規章和標準，對其所有(you)、使用和管理的計算機信息系統承擔相應的安全保護責(ze)任。

第九條 第(di)二級(ji)以上計算機信(xin)息系(xi)統的運營(ying)、使用單位應當建立安(an)(an)全保(bao)護組織(zhi)，并報所(suo)在地(di)地(di)級(ji)以上市(shi)人民政府公安(an)(an)機關公共信(xin)息網絡(luo)安(an)(an)全監(jian)察部門備案(an)。

第十條 安(an)(an)全保(bao)護組織保(bao)障本(ben)單(dan)(dan)位計(ji)(ji)算(suan)(suan)機(ji)(ji)信(xin)(xin)(xin)息(xi)(xi)系統的安(an)(an)全運(yun)行，組織本(ben)單(dan)(dan)位計(ji)(ji)算(suan)(suan)機(ji)(ji)信(xin)(xin)(xin)息(xi)(xi)系統的有害信(xin)(xin)(xin)息(xi)(xi)防治工(gong)作(zuo)，組織開展本(ben)單(dan)(dan)位計(ji)(ji)算(suan)(suan)機(ji)(ji)信(xin)(xin)(xin)息(xi)(xi)系統安(an)(an)全教育和培訓，向(xiang)公安(an)(an)機(ji)(ji)關(guan)公共信(xin)(xin)(xin)息(xi)(xi)網(wang)絡安(an)(an)全監察部(bu)(bu)門報告本(ben)單(dan)(dan)位計(ji)(ji)算(suan)(suan)機(ji)(ji)信(xin)(xin)(xin)息(xi)(xi)系統運(yun)行、服務和安(an)(an)全等情況，及時協助公安(an)(an)機(ji)(ji)關(guan)公共信(xin)(xin)(xin)息(xi)(xi)網(wang)絡安(an)(an)全監察部(bu)(bu)門查處(chu)違(wei)法犯罪(zui)和處(chu)置突發事件。

第十一條 互(hu)聯單位、互(hu)聯網接入服(fu)務單位、互(hu)聯網數據(ju)中心應當對接入本網絡的(de)用戶(hu)進行(xing)資格審(shen)查，確認符合國(guo)家和省有關規定后方可為其(qi)提(ti)供服(fu)務。

互(hu)聯(lian)網接入服務、信息服務單位以及互(hu)聯(lian)網數(shu)據(ju)中心應當向用戶(hu)宣傳相關法(fa)律法(fa)規(gui)，提供必要的安全保護措施。

第十二條 個人主頁、博客、聊天室、點對(dui)點服務(wu)等互聯網信息服務(wu)的提供單位和使用(yong)者應(ying)當依照(zhao)國家和省(sheng)有(you)關規定，落實相(xiang)應(ying)的安(an)全措施。

第十三條 網(wang)吧、圖(tu)書館、學校、賓館等提(ti)供互聯(lian)網(wang)上網(wang)服(fu)務的(de)場所應當(dang)安裝符(fu)合國(guo)家規定的(de)安全管理系(xi)統。

第十四條 互(hu)(hu)(hu)聯(lian)單位、互(hu)(hu)(hu)聯(lian)網接入服務單位以(yi)及互(hu)(hu)(hu)聯(lian)網數據中心應當每月將(jiang)接入本網絡(luo)的用戶情況(kuang)報地級以(yi)上市公(gong)安機關公(gong)共(gong)信息網絡(luo)安全(quan)監察部(bu)門備案(an)。

第十五條 計(ji)算(suan)機信息系統運營、使(shi)用單位(wei)應當接受公(gong)安(an)機關(guan)公(gong)共信息網(wang)絡安(an)全(quan)監(jian)察部(bu)門(men)的監(jian)督(du)、檢查(cha)、指導，如實提供安(an)全(quan)保護有關(guan)信息、資(zi)料及數據文件，不得變(bian)相拒絕(jue)、拖延、阻(zu)礙公(gong)安(an)機關(guan)公(gong)共信息網(wang)絡安(an)全(quan)監(jian)察部(bu)門(men)依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必(bi)須取(qu)得公安部頒發的(de)銷售許可(ke)證(zheng)方可(ke)銷售。

第十七條 生產、銷(xiao)售或者提供(gong)含有(you)計算機信息(xi)網絡遠程控制、密碼猜解、安(an)全（漏洞）檢測、信息(xi)群發技(ji)術(shu)(shu)的(de)(de)(de)產品和工具的(de)(de)(de)，應(ying)當在領取營業執照后30日內（沒(mei)有(you)營業執照的(de)(de)(de)，自開辦(ban)之(zhi)日起30日內）向單位(wei)所在地地級以上市(shi)人民政府公安(an)機關(guan)公共信息(xi)網絡安(an)全監察部門備(bei)案，填寫(xie)《廣東省計算機信息(xi)網絡安(an)全特(te)種技(ji)術(shu)(shu)備(bei)案表》，并提交如下(xia)資(zi)料(liao)：

（一）單位簡況；

（二）營業執照（或其(qi)他(ta)有(you)效證明）復印(yin)件；

（三）研發和服務管(guan)理制度(du)；

（四(si)）主要經營(ying)管(guan)理人員、技術(shu)人員和服務人員有效證(zheng)件復印件；

（五）主(zhu)要產品情況。

第十八條 安全(quan)保護等級(ji)為第三(san)級(ji)以上的(de)計算機信息系統應(ying)當選(xuan)用符合下(xia)列條(tiao)件的(de)安全(quan)專用產品(pin)：

（一）產品(pin)研制、生產單位是由中國公民、法人投資或者國家投資或者控(kong)股的(de)，在中華人民共和國境內具(ju)有獨立的(de)法人資格；

（二）產品的核(he)心技術、關鍵(jian)部件具有我國自(zi)主(zhu)知(zhi)識產權；

（三）產品研制(zhi)、生產單位及其(qi)主要業務、技術人員無犯罪記錄(lu)；

（四(si)）產品研制、生產單位聲(sheng)明沒有(you)故意(yi)留有(you)或者設置漏(lou)洞、后門、木(mu)馬等程序和功能；

（五）對國家安全、社會秩序、公共利益不構(gou)成危害(hai)。

第十九條 符合第十(shi)八(ba)條(tiao)規(gui)定的安(an)全(quan)專用產品和生產單位應當(dang)到省公(gong)安(an)廳公(gong)共信息網絡安(an)全(quan)監察部門備案。

第二十條 為加強安全服(fu)(fu)務(wu)機構(gou)的指導，推(tui)動安全服(fu)(fu)務(wu)質量和(he)技術水平(ping)的提高，廣(guang)東省對從事計(ji)算機信息(xi)系統安全設計(ji)、建設、檢測、評(ping)估(gu)等安全服(fu)(fu)務(wu)的機構(gou)，根據(ju)其(qi)注冊(ce)資本(ben)、服(fu)(fu)務(wu)業績、技術力(li)量、組(zu)織管(guan)理情況實行(xing)分級(ji)指導。

第五章 安全等級測評

第二十一條 第二級(ji)以上的(de)計(ji)算機(ji)信息系統的(de)安全測(ce)評應當選擇符(fu)合下列條件的(de)計(ji)算機(ji)信息系統安全等級(ji)測(ce)評機(ji)構（簡(jian)稱測(ce)評機(ji)構）承擔：

（一）在中華人(ren)民共和國境內(nei)注冊成立（港(gang)澳臺(tai)地(di)區除(chu)外），具有相應經營范圍的營業執照(zhao)，注冊資本100萬元以上；

（二(er)）由中國公(gong)民投(tou)資、中國法人投(tou)資或者國家(jia)投(tou)資的(de)企事業單(dan)位（港澳臺地區除外）；

（三）近3年完成的測(ce)評(ping)項目總(zong)值150萬元以上；

（四）具有(you)計算機安全或(huo)相關專業資(zi)格證書(shu)的(de)專業技術人員不少(shao)于20人，其中大學本(ben)科(ke)以(yi)上學歷的(de)人員不少(shao)于15人；

（五(wu)）管(guan)理(li)(li)人員應當具有3年以(yi)上從(cong)事計(ji)算(suan)機(ji)信息系統安全(quan)技(ji)術領(ling)域企業(ye)管(guan)理(li)(li)工作(zuo)經(jing)歷，技(ji)術負責人已獲(huo)得計(ji)算(suan)機(ji)信息系統安全(quan)技(ji)術相關專(zhuan)業(ye)的高級(ji)職稱，從(cong)事安全(quan)測(ce)評(ping)工作(zuo)不少于3年，無犯罪(zui)記(ji)錄；

（六）工(gong)作(zuo)人員僅(jin)限于中國公民，法人及主要業務、技術人員無犯罪(zui)記錄(lu)；

（七）具有與(yu)所(suo)承擔項(xiang)目適應的技術(shu)裝備；

（八）具有完備的保密管(guan)理、項(xiang)目管(guan)理、質量(liang)管(guan)理、人員管(guan)理和培訓教育等安全管(guan)理制(zhi)度；

（九(jiu)）對國家安全、社會秩序、公共(gong)利益(yi)不構(gou)成威脅。

第二十二條 廣(guang)東(dong)省對測(ce)評(ping)機(ji)構(gou)實施備(bei)案制度。符合第二十一條規定的條件，承擔第二級以上的計(ji)算機(ji)信息系統測(ce)評(ping)工作的機(ji)構(gou)應當到省公安廳公共(gong)信息網絡安全監(jian)察部門備(bei)案。

第二十三條 省公(gong)安廳公(gong)共信息網絡安全監(jian)察部門對已(yi)備案的測評(ping)機(ji)構(gou)進行公(gong)布。

第二十四條 測評機構(gou)應(ying)當(dang)履行下列義務(wu)：

（一）遵守國家有關法律法規(gui)和(he)技術(shu)標準(zhun)，提供安(an)全、客觀、公正的檢測(ce)(ce)評估服(fu)務，保證測(ce)(ce)評的質(zhi)量和(he)效果(guo)；

（二）保守(shou)在測評活動中(zhong)知悉(xi)的國家秘(mi)密、商業(ye)秘(mi)密和(he)個人隱私，防范(fan)測評風(feng)險；

（三(san)）對測評人員進行(xing)安(an)全(quan)保(bao)密教育，與(yu)其簽訂安(an)全(quan)保(bao)密責任書(shu)，規定應當履行(xing)的(de)安(an)全(quan)保(bao)密義務(wu)和承擔的(de)法律責任，并負責檢查落(luo)實(shi)。

第二十五條 第二級以上的(de)計算機信(xin)息(xi)系統(tong)建設完成后(hou)，使用單位(wei)應當委托符合規(gui)定(ding)的(de)測評機構安(an)全(quan)測評合格方可投入(ru)使用。測評活動(dong)應當接受公安(an)機關公共信(xin)息(xi)網絡(luo)安(an)全(quan)監察部門的(de)監督。

第二十六條 計(ji)算機(ji)信息(xi)系統運(yun)營、使用單位(wei)委托(tuo)安(an)全測評(ping)機(ji)構測評(ping)，應當提交下列資(zi)料(liao)：

（一）安全測評委托書；

（二(er)）計算機(ji)信(xin)息系統應用需求、系統結構拓撲及說(shuo)明、系統安(an)全(quan)組織結構和(he)管理制度、安(an)全(quan)保護設(she)(she)施設(she)(she)計實(shi)施方(fang)案或者改建實(shi)施方(fang)案、系統軟件(jian)硬件(jian)和(he)信(xin)息安(an)全(quan)產品清單。

第二十七條 安全(quan)測(ce)評機構(gou)在收到委(wei)托(tuo)材料后(hou)，應當與(yu)委(wei)托(tuo)方協商制訂(ding)安全(quan)測(ce)評計(ji)劃，開展(zhan)安全(quan)測(ce)評工作，并出具安全(quan)測(ce)評報告。

經測(ce)(ce)評，計(ji)算機信息系統(tong)安(an)全狀況未達到國家(jia)有關規定和標準的要求，委托單位應當根(gen)據測(ce)(ce)評報告的建(jian)議，完(wan)善計(ji)算機信息系統(tong)安(an)全建(jian)設，并重新提出安(an)全測(ce)(ce)評委托。

測(ce)評(ping)機(ji)(ji)(ji)構對計算機(ji)(ji)(ji)信息(xi)系(xi)統進行(xing)使用(yong)(yong)前安(an)全(quan)(quan)測(ce)評(ping)，應當預(yu)先(xian)報(bao)告地級以上市公(gong)(gong)安(an)機(ji)(ji)(ji)關公(gong)(gong)共信息(xi)網絡安(an)全(quan)(quan)監察部(bu)門。安(an)全(quan)(quan)測(ce)評(ping)報(bao)告由(you)計算機(ji)(ji)(ji)信息(xi)系(xi)統運營、使用(yong)(yong)單位報(bao)地級以上市公(gong)(gong)安(an)機(ji)(ji)(ji)關公(gong)(gong)共信息(xi)網絡安(an)全(quan)(quan)監察部(bu)門。

第二十八條 第三級(ji)計算(suan)機信息系統(tong)應(ying)當(dang)(dang)每(mei)年(nian)至少進行一(yi)次安(an)全測評(ping)，第四級(ji)計算(suan)機信息系統(tong)應(ying)當(dang)(dang)每(mei)半年(nian)至少進行一(yi)次安(an)全測評(ping)，第五級(ji)計算(suan)機信息系統(tong)應(ying)當(dang)(dang)依據特殊安(an)全要求進行安(an)全測評(ping)。

第六章 應急處置

第二十九條 公安機(ji)(ji)關公共信(xin)息網絡安全(quan)監察部門與所在地安全(quan)服務機(ji)(ji)構(gou)、互聯(lian)網運(yun)營單(dan)位和其(qi)他計(ji)算機(ji)(ji)信(xin)息系統(tong)運(yun)營、使(shi)用單(dan)位應(ying)當建立聯(lian)防(fang)機(ji)(ji)制，依法及(ji)時查(cha)處通(tong)過計(ji)算機(ji)(ji)信(xin)息系統(tong)進行的(de)違法犯罪行為(wei)，組織處置重(zhong)大突發事件。

第三十條 對計算機(ji)信息系統中發(fa)生的(de)(de)案件和重大安全事故，計算機(ji)信息系統的(de)(de)運營、使用單位應當在二十四小時內報告縣級以上人民政府公安機(ji)關公共信息網絡(luo)安全監察部門(men)，并保留(liu)有關原始記錄。

第三十一條 第二(er)級(ji)以(yi)上的(de)計算機信息系統(tong)運營、使用單位應當制(zhi)定重大(da)突發(fa)事件應急處置預案并定期實(shi)施演(yan)練。

第三十二條 計(ji)算(suan)機信(xin)息系(xi)統發生(sheng)重大突(tu)發事(shi)件，有關(guan)單位應(ying)當按(an)照應(ying)急處(chu)置預案的要(yao)求采取相(xiang)應(ying)的處(chu)置措(cuo)施，并服從公安(an)機關(guan)和國家指定的專門(men)部門(men)的調(diao)度。

第三十三條 地(di)級市以上人民政(zheng)府公安(an)(an)機(ji)(ji)關(guan)公共(gong)信息網絡安(an)(an)全(quan)(quan)監察部(bu)門經(jing)本機(ji)(ji)關(guan)主管領導(dao)批準，為保護計算機(ji)(ji)信息系統安(an)(an)全(quan)(quan)，在(zai)發(fa)(fa)生重大突發(fa)(fa)事件，危及國家安(an)(an)全(quan)(quan)、公共(gong)安(an)(an)全(quan)(quan)及社會(hui)穩(wen)定的(de)緊急情況下，可以采取(qu)二十四小時(shi)內暫(zan)時(shi)停(ting)機(ji)(ji)、暫(zan)停(ting)聯網、備份數據等措施(shi)。

第七章 安全培訓

第三十四條 省公(gong)(gong)安(an)(an)廳(ting)、人事廳(ting)聯(lian)合成立的省信息網絡(luo)安(an)(an)全專業(ye)技(ji)術人員(yuan)繼續(xu)(xu)教育(yu)(yu)工(gong)作(zuo)(zuo)領導(dao)小組，負(fu)(fu)責(ze)全省信息網絡(luo)安(an)(an)全專業(ye)技(ji)術人員(yuan)繼續(xu)(xu)教育(yu)(yu)工(gong)作(zuo)(zuo)的組織和領導(dao)。下設省信息網絡(luo)安(an)(an)全專業(ye)技(ji)術人員(yuan)繼續(xu)(xu)教育(yu)(yu)工(gong)作(zuo)(zuo)辦公(gong)(gong)室(shi)，具體負(fu)(fu)責(ze)日常(chang)管理工(gong)作(zuo)(zuo)。

第三十五條 下列人(ren)員(yuan)應當參加(jia)信息網絡安(an)全專業技術(shu)(shu)人(ren)員(yuan)繼(ji)續教育(yu)，取(qu)得省信息網絡安(an)全專業技術(shu)(shu)人(ren)員(yuan)繼(ji)續教育(yu)工作(zuo)辦公室頒(ban)發的信息網絡安(an)全專業技術(shu)(shu)人(ren)員(yuan)繼(ji)續教育(yu)合格證(zheng)書，持(chi)證(zheng)上(shang)崗(gang)：

（一）計(ji)算機信息(xi)(xi)系(xi)統運營、使用單位信息(xi)(xi)安(an)全(quan)管理責任人(ren)、信息(xi)(xi)審查員；

（二）互聯網接入服(fu)務、數據中心服(fu)務、信息服(fu)務、上網服(fu)務提供單位安全管(guan)理(li)員、專業技術(shu)人員；

（三）安全專用產品生產單位(wei)專業技(ji)術人員；

（四(si)）安全(quan)服務機構專業技術人(ren)員、安全(quan)服務管理(li)人(ren)員；

（五）其他從事計算機信息(xi)系統安全保護工作的人(ren)員。

第三十六條 信(xin)息網(wang)絡安(an)全專業(ye)技術人員繼(ji)續(xu)教(jiao)育由省(sheng)信(xin)息網(wang)絡安(an)全專業(ye)技術人員繼(ji)續(xu)教(jiao)育工作辦公(gong)室授權的施(shi)教(jiao)機構負責(ze)實施(shi)。施(shi)教(jiao)機構實行統籌規劃。

第三十七條 信息網絡(luo)安全(quan)專業技術人員繼續教育培訓和(he)考(kao)試按照(zhao)有關規定進行，實(shi)行統(tong)(tong)一教學大(da)綱(gang)，統(tong)(tong)一教材，統(tong)(tong)一考(kao)試，統(tong)(tong)一發(fa)證。

考試合格(ge)的，由(you)省信(xin)息網(wang)絡安全專(zhuan)業技術人(ren)員(yuan)繼續教(jiao)育(yu)工作辦公(gong)室(shi)發給信(xin)息網(wang)絡安全專(zhuan)業技術人(ren)員(yuan)繼續教(jiao)育(yu)證書(shu)。

第八章 法律責任

第三十八條 違(wei)反本辦(ban)法(fa)的規定(ding)，依照有關法(fa)律、法(fa)規和(he)規章處罰(fa)。

第九章 附則

第三十九條 本細則下列(lie)用語的(de)含義：實體(ti)安(an)全，指保護計(ji)算機信息系統的(de)環境(jing)(jing)，計(ji)算機設備(bei)、設施(shi)（含網絡）以及其它(ta)媒體(ti)免(mian)遭地震(zhen)、水災、火災、雷電、有害氣體(ti)和其它(ta)環境(jing)(jing)事故（如電磁污染等）破壞(huai)。

運行安全，指保護計算機信息系統的信息處理(li)過程順(shun)利進行。

信息安全，指(zhi)保(bao)障信息的完整性(xing)(xing)、保(bao)密(mi)性(xing)(xing)、可用性(xing)(xing)和可控性(xing)(xing)。

內(nei)(nei)容(rong)安全，指確保計算機信息(xi)系(xi)統(tong)中傳輸的信息(xi)所承載(zai)的內(nei)(nei)容(rong)的合法性。

安(an)全（漏洞(dong)(dong)）檢測(ce)，指利用計(ji)算機技術手段掃描、探測(ce)計(ji)算機信息系統安(an)全漏洞(dong)(dong)。

第四十條 本辦法規定的“以上”含本數。

第四十一條 本辦法規定的有關(guan)表(biao)格和(he)證書(shu)由省公安廳制(zhi)定式樣，統(tong)一監(jian)制(zhi)。

第四十二條 本辦法由(you)省公安廳負責(ze)解釋。

第四十三條 本辦法自2008年12月(yue)1日起(qi)施行。