廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年9月27日以粵公通字〔2008〕228號發(fa)布 自2008年12月1日起施行）

第一章 總則

第一條 為保護計算機信息(xi)系統(tong)安全，促進信息(xi)化建設的(de)健康(kang)發展，貫徹落實《廣東(dong)省計算機信息(xi)系統(tong)安全保護條例》，根據有關(guan)法律法規，制(zhi)定本(ben)辦法。

第二條 本辦法適用于廣東省(sheng)行(xing)政區(qu)域內計算機信息系統的安全保護(hu)。

第三條 縣級以(yi)上人民(min)政府公安機關(guan)公共信息網絡安全監(jian)察(cha)部門(men)具體(ti)負責本行政區域內計算(suan)機信息系統的安全保護監(jian)管工作。

第二章 安全監督

第四條 公(gong)安機關公(gong)共信息(xi)網絡安全監察部門對計算(suan)機信息(xi)系統(tong)安全保護工作行使下列職責：

（一）監督、檢(jian)查、指導計算(suan)機信息系統安(an)全保護工作；

（二）組織開展計(ji)算機信(xin)息系(xi)統安全(quan)等級保護；

（三）查(cha)處(chu)計算機(ji)違(wei)法犯罪案件；

（四）組(zu)織處置(zhi)重(zhong)大計(ji)算機信(xin)息系統安全事故和事件(jian)；

（五）負責計算(suan)機(ji)病毒(du)和其他有害數據(ju)防治管理；

（六）負(fu)責計(ji)算機信(xin)息系統安全服務的監督指導；

（七）負責計(ji)算機(ji)信息系統安全專用產(chan)品(pin)的(de)監督管理；

（八(ba)）負責(ze)計算(suan)機信(xin)息系統(tong)安全培訓(xun)管理；

（九(jiu)）法(fa)律(lv)、法(fa)規和規章規定(ding)的其他職責。

第五條 公安(an)(an)機(ji)關公共信息(xi)網(wang)絡安(an)(an)全監(jian)察部門(men)應當對計算機(ji)信息(xi)系統(tong)落實(shi)實(shi)體安(an)(an)全、運(yun)行安(an)(an)全、信息(xi)安(an)(an)全和內(nei)容安(an)(an)全措施(shi)的情況(kuang)進行檢(jian)查。

對第(di)三級計(ji)算機(ji)信息系(xi)(xi)統(tong)每年至少檢查一次(ci)，對第(di)四級計(ji)算機(ji)信息系(xi)(xi)統(tong)每半(ban)年至少檢查一次(ci)。對第(di)五級計(ji)算機(ji)信息系(xi)(xi)統(tong)，應當會同國家指定的專(zhuan)門部(bu)門進行檢查。

對其他計算(suan)機信息(xi)系(xi)統應當不定期開展檢查。

第六條 公(gong)安機(ji)關(guan)公(gong)共信息網絡安全(quan)監(jian)察部門發現計算(suan)機(ji)信息系統的安全(quan)保護(hu)等級和安全(quan)措施(shi)不符合(he)有關(guan)規定和技術標準，或者存在安全(quan)隱患的，應當通知(zhi)運(yun)營、使用(yong)單位(wei)進行整改。

第七條 公安(an)機關公共信息(xi)網(wang)絡安(an)全(quan)(quan)監察部(bu)門(men)應當向公眾提(ti)供(gong)報警求助渠(qu)道，提(ti)供(gong)計算機信息(xi)系統安(an)全(quan)(quan)指導(dao)，發(fa)布安(an)全(quan)(quan)動態，開(kai)展安(an)全(quan)(quan)宣傳。

第三章 安全保護責任

第八條 單(dan)位和(he)個人(ren)應(ying)當依(yi)照有關(guan)法規(gui)、規(gui)章(zhang)和(he)標(biao)準，對(dui)其所有、使用和(he)管理的(de)計(ji)算(suan)機信息系統(tong)承擔(dan)相應(ying)的(de)安全(quan)保護責任(ren)。

第九條 第二級以(yi)上(shang)計算機信息(xi)系統的運營(ying)、使用(yong)單位(wei)應當(dang)建立安(an)(an)全保護組(zu)織，并(bing)報(bao)所在地地級以(yi)上(shang)市人民政府公安(an)(an)機關公共信息(xi)網絡安(an)(an)全監察部門備案。

第十條 安(an)(an)全(quan)保護組(zu)織保障(zhang)本(ben)單(dan)位(wei)(wei)計算(suan)(suan)機(ji)(ji)(ji)信息(xi)(xi)(xi)(xi)系統(tong)的(de)安(an)(an)全(quan)運行，組(zu)織本(ben)單(dan)位(wei)(wei)計算(suan)(suan)機(ji)(ji)(ji)信息(xi)(xi)(xi)(xi)系統(tong)的(de)有害信息(xi)(xi)(xi)(xi)防治工作，組(zu)織開展本(ben)單(dan)位(wei)(wei)計算(suan)(suan)機(ji)(ji)(ji)信息(xi)(xi)(xi)(xi)系統(tong)安(an)(an)全(quan)教(jiao)育和培訓，向公安(an)(an)機(ji)(ji)(ji)關公共(gong)信息(xi)(xi)(xi)(xi)網(wang)絡(luo)安(an)(an)全(quan)監察部門報告本(ben)單(dan)位(wei)(wei)計算(suan)(suan)機(ji)(ji)(ji)信息(xi)(xi)(xi)(xi)系統(tong)運行、服務和安(an)(an)全(quan)等情況，及時(shi)協(xie)助公安(an)(an)機(ji)(ji)(ji)關公共(gong)信息(xi)(xi)(xi)(xi)網(wang)絡(luo)安(an)(an)全(quan)監察部門查處(chu)違法犯罪(zui)和處(chu)置突(tu)發(fa)事件(jian)。

第十一條 互(hu)聯單(dan)位、互(hu)聯網接入(ru)服(fu)務(wu)單(dan)位、互(hu)聯網數據中(zhong)心應當對(dui)接入(ru)本網絡的(de)用(yong)戶進(jin)行資格(ge)審(shen)查，確認符合國家和(he)省有關規(gui)定(ding)后方可為其提供服(fu)務(wu)。

互聯網接(jie)入服務、信息服務單位以及互聯網數據(ju)中(zhong)心應當向用戶宣傳相關(guan)法律(lv)法規(gui)，提供必(bi)要的安全保護措施。

第十二條 個人主頁、博(bo)客(ke)、聊(liao)天(tian)室(shi)、點對點服務等互聯網信息服務的提供單位和使用者應當依(yi)照國(guo)家和省有(you)關規定，落實相應的安全措施。

第十三條 網(wang)吧、圖書(shu)館、學(xue)校、賓館等提供互聯網(wang)上網(wang)服務的(de)場(chang)所應當安(an)裝符合國家規(gui)定(ding)的(de)安(an)全管理(li)系統。

第十四條 互聯單(dan)位(wei)、互聯網接入(ru)服務(wu)單(dan)位(wei)以及互聯網數據中心(xin)應當(dang)每月將接入(ru)本網絡的用(yong)戶情況(kuang)報(bao)地級以上(shang)市公(gong)安機關公(gong)共(gong)信息網絡安全監察部門(men)備案。

第十五條 計算(suan)機信(xin)(xin)息系統(tong)運營、使用單位(wei)應當接受公安(an)(an)(an)機關公共信(xin)(xin)息網絡(luo)安(an)(an)(an)全監(jian)察(cha)部門的監(jian)督、檢查(cha)、指導，如實(shi)提(ti)供安(an)(an)(an)全保護有關信(xin)(xin)息、資料及數據(ju)文件，不(bu)得變相拒絕、拖延、阻礙公安(an)(an)(an)機關公共信(xin)(xin)息網絡(luo)安(an)(an)(an)全監(jian)察(cha)部門依法(fa)執行公務。

第四章 安全專用產品和安全服務

第十六條 安全專用產品必須(xu)取(qu)得公安部頒發的銷售(shou)許可(ke)證方可(ke)銷售(shou)。

第十七條 生(sheng)產、銷售或者提供含有(you)計(ji)算機信(xin)息(xi)網絡(luo)(luo)遠程(cheng)控制、密碼(ma)猜解、安全（漏(lou)洞）檢測、信(xin)息(xi)群(qun)發技(ji)(ji)術的產品和工具(ju)的，應當在(zai)領取營業執照后30日(ri)內（沒(mei)有(you)營業執照的，自開辦之日(ri)起30日(ri)內）向單位所在(zai)地地級以上市(shi)人民政府(fu)公安機關公共(gong)信(xin)息(xi)網絡(luo)(luo)安全監(jian)察部(bu)門備(bei)(bei)案(an)，填(tian)寫(xie)《廣東省計(ji)算機信(xin)息(xi)網絡(luo)(luo)安全特種(zhong)技(ji)(ji)術備(bei)(bei)案(an)表》，并提交如下資料：

（一）單位簡況；

（二）營業執照(zhao)（或(huo)其他(ta)有效證明(ming)）復印件；

（三）研(yan)發和服務管理(li)制度；

（四）主(zhu)要經營管理人員(yuan)、技術人員(yuan)和服務(wu)人員(yuan)有效證(zheng)件(jian)復印件(jian)；

（五）主要產(chan)品情況。

第十八條 安(an)全(quan)保(bao)護等級為第(di)三級以(yi)上的(de)計算機信息系統應當選(xuan)用符合(he)下列條(tiao)件的(de)安(an)全(quan)專用產品：

（一）產品研制、生(sheng)產單位是由中國公民、法人投資(zi)(zi)或(huo)者國家(jia)投資(zi)(zi)或(huo)者控股的(de)，在(zai)中華(hua)人民共(gong)和國境(jing)內具有(you)獨(du)立的(de)法人資(zi)(zi)格；

（二）產品(pin)的核心技術、關(guan)鍵部件(jian)具(ju)有我國(guo)自主知識產權；

（三）產品研制、生產單位(wei)及其主要業務、技(ji)術人員無犯罪記錄；

（四）產品研制、生產單位聲明沒有(you)故意(yi)留有(you)或者設置漏洞、后門(men)、木馬等程序和功能；

（五）對(dui)國(guo)家(jia)安全、社會秩序(xu)、公共利益不構成危害(hai)。

第十九條 符合第十八條規定(ding)的安全專用產(chan)品(pin)和生產(chan)單位應(ying)當到省(sheng)公安廳公共信息網絡安全監(jian)察部門備案。

第二十條 為加強(qiang)安全(quan)服務機構的指導，推動(dong)安全(quan)服務質量(liang)和(he)技術(shu)水平(ping)的提(ti)高，廣(guang)東省對從(cong)事計算機信息(xi)系統(tong)安全(quan)設計、建設、檢測、評估等安全(quan)服務的機構，根據其(qi)注冊資本、服務業(ye)績、技術(shu)力量(liang)、組織(zhi)管(guan)理情(qing)況實行分級指導。

第五章 安全等級測評

第二十一條 第二(er)級以上的計算(suan)(suan)機(ji)(ji)信(xin)息系(xi)統的安全測評(ping)應當選擇符合下列條件的計算(suan)(suan)機(ji)(ji)信(xin)息系(xi)統安全等級測評(ping)機(ji)(ji)構（簡稱測評(ping)機(ji)(ji)構）承擔：

（一）在中華人民共(gong)和國境內注冊成立(li)（港(gang)澳臺(tai)地區除外(wai)），具有相(xiang)應經(jing)營范圍(wei)的營業(ye)執照，注冊資本(ben)100萬元(yuan)以上；

（二）由中國(guo)(guo)公民(min)投資、中國(guo)(guo)法(fa)人投資或者(zhe)國(guo)(guo)家投資的企事業(ye)單位（港澳臺地(di)區(qu)除外）；

（三）近3年完成(cheng)的測評(ping)項目(mu)總(zong)值(zhi)150萬元以上(shang)；

（四）具(ju)有計算機安全或相關專業資格證書的專業技術人(ren)員(yuan)不少(shao)于20人(ren)，其中大學本科以上學歷的人(ren)員(yuan)不少(shao)于15人(ren)；

（五）管理人員應當具有3年以上(shang)從(cong)(cong)事(shi)計算機信(xin)息系統(tong)(tong)安全(quan)技術領域企業管理工作經歷，技術負責人已獲得計算機信(xin)息系統(tong)(tong)安全(quan)技術相關(guan)專業的(de)高(gao)級職稱，從(cong)(cong)事(shi)安全(quan)測評工作不少于3年，無犯罪(zui)記錄；

（六）工作人員僅限(xian)于中國公(gong)民(min)，法人及主要(yao)業務(wu)、技術人員無犯罪記錄；

（七）具有與所承擔項目適(shi)應的技術裝(zhuang)備；

（八）具有完備的保(bao)密(mi)管理(li)、項目(mu)管理(li)、質(zhi)量管理(li)、人員(yuan)管理(li)和培訓(xun)教(jiao)育(yu)等(deng)安(an)全管理(li)制度；

（九）對(dui)國家(jia)安(an)全(quan)、社會秩序、公共(gong)利益不(bu)構成威脅(xie)。

第二十二條 廣(guang)東省對測評(ping)機(ji)構實(shi)施備案制度。符合第二十一條(tiao)(tiao)規定的(de)條(tiao)(tiao)件，承(cheng)擔(dan)第二級(ji)以上的(de)計算機(ji)信息系統(tong)測評(ping)工作的(de)機(ji)構應當(dang)到省公安(an)(an)廳公共信息網(wang)絡(luo)安(an)(an)全(quan)監(jian)察部門備案。

第二十三條 省(sheng)公安廳公共信息網絡安全監察部門對已備案的測(ce)評(ping)機構進行(xing)公布。

第二十四條 測評(ping)機構應(ying)當(dang)履行下(xia)列義務(wu)：

（一）遵守國家(jia)有關(guan)法(fa)律法(fa)規和技術標(biao)準，提供安全、客觀(guan)、公正(zheng)的檢(jian)測評估服務，保證測評的質量和效果；

（二）保守在測評(ping)活動(dong)中知(zhi)悉的(de)國家秘(mi)密、商業秘(mi)密和個(ge)人隱私，防范測評(ping)風險；

（三）對測評(ping)人員(yuan)進(jin)行(xing)安全保密教育，與其簽訂安全保密責任書，規(gui)定(ding)應當履行(xing)的安全保密義務和承擔的法(fa)律責任，并負責檢查落實。

第二十五條 第(di)二(er)級以上(shang)的計(ji)算(suan)機信息(xi)系(xi)統建(jian)設完成后(hou)，使(shi)用單位應當(dang)委托符合規定(ding)的測評機構(gou)安全測評合格方可(ke)投(tou)入使(shi)用。測評活動(dong)應當(dang)接受公安機關公共(gong)信息(xi)網(wang)絡安全監察部門(men)的監督。

第二十六條 計算機(ji)信(xin)息系(xi)統(tong)運(yun)營、使用(yong)單位委托(tuo)安全測評(ping)機(ji)構測評(ping)，應當(dang)提交(jiao)下列資料：

（一）安全測(ce)評委(wei)托書；

（二）計算機(ji)信息(xi)系(xi)(xi)統(tong)應用(yong)需求(qiu)、系(xi)(xi)統(tong)結構拓撲及說(shuo)明、系(xi)(xi)統(tong)安全(quan)組織結構和管(guan)理制度、安全(quan)保護設施(shi)設計實(shi)施(shi)方案或者(zhe)改建實(shi)施(shi)方案、系(xi)(xi)統(tong)軟件硬件和信息(xi)安全(quan)產品(pin)清單(dan)。

第二十七條 安全(quan)測(ce)(ce)評機構(gou)在收(shou)到委托(tuo)材料后，應當(dang)與委托(tuo)方協商制(zhi)訂安全(quan)測(ce)(ce)評計劃(hua)，開展安全(quan)測(ce)(ce)評工作(zuo)，并(bing)出具安全(quan)測(ce)(ce)評報告。

經測(ce)評，計算(suan)(suan)機信息(xi)系(xi)統安全(quan)(quan)狀況未達到國家有關規定和標準的要求，委(wei)托(tuo)單位(wei)應當根據(ju)測(ce)評報告的建議(yi)，完善(shan)計算(suan)(suan)機信息(xi)系(xi)統安全(quan)(quan)建設，并重新提出安全(quan)(quan)測(ce)評委(wei)托(tuo)。

測評(ping)(ping)機構對計算機信(xin)(xin)息(xi)系統(tong)進(jin)行使(shi)用前(qian)安(an)(an)(an)全測評(ping)(ping)，應當(dang)預先(xian)報(bao)告地級以上市公(gong)安(an)(an)(an)機關公(gong)共信(xin)(xin)息(xi)網(wang)絡(luo)安(an)(an)(an)全監察(cha)部(bu)門(men)。安(an)(an)(an)全測評(ping)(ping)報(bao)告由計算機信(xin)(xin)息(xi)系統(tong)運(yun)營(ying)、使(shi)用單(dan)位報(bao)地級以上市公(gong)安(an)(an)(an)機關公(gong)共信(xin)(xin)息(xi)網(wang)絡(luo)安(an)(an)(an)全監察(cha)部(bu)門(men)。

第二十八條 第三級計算機(ji)信息(xi)系統(tong)應(ying)(ying)當每(mei)年至(zhi)少(shao)進行(xing)一次安(an)(an)全(quan)測評，第四級計算機(ji)信息(xi)系統(tong)應(ying)(ying)當每(mei)半年至(zhi)少(shao)進行(xing)一次安(an)(an)全(quan)測評，第五級計算機(ji)信息(xi)系統(tong)應(ying)(ying)當依據特殊安(an)(an)全(quan)要求進行(xing)安(an)(an)全(quan)測評。

第六章 應急處置

第二十九條 公安(an)機(ji)關公共信息網絡安(an)全監察部門與所(suo)在地安(an)全服務機(ji)構、互聯(lian)網運營(ying)單(dan)位和其他(ta)計(ji)(ji)算機(ji)信息系統運營(ying)、使用單(dan)位應當建(jian)立(li)聯(lian)防(fang)機(ji)制，依(yi)法(fa)及時查處通(tong)過計(ji)(ji)算機(ji)信息系統進行的違法(fa)犯罪行為，組(zu)織(zhi)處置(zhi)重(zhong)大突發事件。

第三十條 對計算(suan)機(ji)信(xin)(xin)息(xi)系統(tong)中發生的案件(jian)和重大安全事故，計算(suan)機(ji)信(xin)(xin)息(xi)系統(tong)的運營(ying)、使用單(dan)位應當在二十四(si)小時內(nei)報告(gao)縣級以上人(ren)民政府公安機(ji)關公共信(xin)(xin)息(xi)網絡安全監(jian)察(cha)部門，并(bing)保(bao)留有關原始記(ji)錄。

第三十一條 第二級以上的計算機(ji)信息系(xi)統運(yun)營、使(shi)用(yong)單位應當(dang)制定(ding)重大(da)突發事(shi)件應急處(chu)置預案并定(ding)期實(shi)施演練(lian)。

第三十二條 計(ji)算機信息系統發(fa)生重大突發(fa)事(shi)件，有關(guan)單位應(ying)當按照應(ying)急處置預案的(de)(de)要求(qiu)采取相應(ying)的(de)(de)處置措施，并服(fu)從(cong)公安(an)機關(guan)和國家指(zhi)定(ding)的(de)(de)專門部(bu)門的(de)(de)調度。

第三十三條 地(di)級市以上人民政(zheng)府公安(an)機(ji)(ji)(ji)關公共信息網(wang)絡(luo)安(an)全監(jian)察部門(men)經(jing)本機(ji)(ji)(ji)關主管領導批準，為保護計算機(ji)(ji)(ji)信息系統安(an)全，在發生重大突發事件(jian)，危及國家安(an)全、公共安(an)全及社會穩定的緊急情況下，可以采取二十四小(xiao)時內暫時停機(ji)(ji)(ji)、暫停聯網(wang)、備份(fen)數據等措施。

第七章 安全培訓

第三十四條 省(sheng)公(gong)安廳、人事廳聯合(he)成立的省(sheng)信(xin)息(xi)(xi)網絡(luo)安全專(zhuan)業(ye)技術人員(yuan)繼(ji)續(xu)教育工作(zuo)領(ling)(ling)導小組，負責(ze)全省(sheng)信(xin)息(xi)(xi)網絡(luo)安全專(zhuan)業(ye)技術人員(yuan)繼(ji)續(xu)教育工作(zuo)的組織和領(ling)(ling)導。下設省(sheng)信(xin)息(xi)(xi)網絡(luo)安全專(zhuan)業(ye)技術人員(yuan)繼(ji)續(xu)教育工作(zuo)辦公(gong)室(shi)，具體負責(ze)日常管理(li)工作(zuo)。

第三十五條 下(xia)列人(ren)員(yuan)(yuan)應當參加信(xin)息網絡安全專業技術(shu)人(ren)員(yuan)(yuan)繼續(xu)教(jiao)育(yu)，取得省信(xin)息網絡安全專業技術(shu)人(ren)員(yuan)(yuan)繼續(xu)教(jiao)育(yu)工作辦公室頒發(fa)的信(xin)息網絡安全專業技術(shu)人(ren)員(yuan)(yuan)繼續(xu)教(jiao)育(yu)合格證書，持證上崗：

（一）計算(suan)機(ji)信息(xi)系(xi)統運營、使(shi)用單位信息(xi)安全管(guan)理責(ze)任人、信息(xi)審查員(yuan)；

（二）互聯網(wang)接入服務、數(shu)據(ju)中心服務、信息(xi)服務、上網(wang)服務提供單位安全(quan)管理(li)員、專業技術人員；

（三(san)）安(an)全專(zhuan)用產品生產單位專(zhuan)業技(ji)術人(ren)員；

（四）安(an)全(quan)服務機構(gou)專業(ye)技(ji)術人員、安(an)全(quan)服務管理人員；

（五(wu)）其他從事計算機信息(xi)系統安全保護工作的人員(yuan)。

第三十六條 信息網(wang)絡安(an)全專(zhuan)業技術人員繼續(xu)(xu)教(jiao)育(yu)由省信息網(wang)絡安(an)全專(zhuan)業技術人員繼續(xu)(xu)教(jiao)育(yu)工作辦(ban)公室授權的施教(jiao)機(ji)構(gou)負責實(shi)施。施教(jiao)機(ji)構(gou)實(shi)行(xing)統籌規劃。

第三十七條 信息網(wang)絡安(an)全(quan)專業技術人(ren)員繼(ji)續教育(yu)培(pei)訓和考(kao)(kao)試(shi)按照有關規定(ding)進(jin)行(xing)，實(shi)行(xing)統一教學(xue)大綱，統一教材(cai)，統一考(kao)(kao)試(shi)，統一發證。

考試(shi)合格的，由省信息網絡安(an)(an)全(quan)專業技(ji)術人員(yuan)繼續教(jiao)育(yu)工作(zuo)辦公室發給信息網絡安(an)(an)全(quan)專業技(ji)術人員(yuan)繼續教(jiao)育(yu)證書。

第八章 法律責任

第三十八條 違反(fan)本辦法(fa)(fa)的規(gui)定，依照有關法(fa)(fa)律、法(fa)(fa)規(gui)和規(gui)章處罰。

第九章 附則

第三十九條 本細(xi)則下列(lie)用語的含義：實體(ti)安全，指保護計算機(ji)信息系(xi)統(tong)的環(huan)境，計算機(ji)設(she)備(bei)、設(she)施(shi)（含網絡）以及其(qi)它媒(mei)體(ti)免遭地震、水災、火災、雷電、有害氣體(ti)和其(qi)它環(huan)境事(shi)故（如電磁污染等）破壞(huai)。

運(yun)行(xing)安(an)全，指保護計算(suan)機信(xin)息系統的(de)信(xin)息處(chu)理過程順利進行(xing)。

信(xin)息安(an)全，指保障信(xin)息的完整性(xing)、保密性(xing)、可用性(xing)和(he)可控(kong)性(xing)。

內(nei)容安全，指確保(bao)計算機信(xin)息系統中(zhong)傳輸的信(xin)息所承載的內(nei)容的合法性。

安全(quan)（漏洞）檢測(ce)(ce)，指利用計算機技術(shu)手(shou)段掃描、探(tan)測(ce)(ce)計算機信息(xi)系統安全(quan)漏洞。

第四十條 本辦法(fa)規定的(de)“以上”含(han)本數。

第四十一條 本辦(ban)法(fa)規定的有關表格和證書由(you)省(sheng)公安廳制定式樣(yang)，統(tong)一(yi)監(jian)制。

第四十二條 本辦法由省公(gong)安廳(ting)負責解釋。

第四十三條 本辦法自2008年12月1日(ri)起施行。