廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年9月27日以粵公通(tong)字〔2008〕228號發布 自2008年12月1日起施行）

第一章 總則

第一條 為保護計算機信息(xi)系統安(an)全(quan)，促進(jin)信息(xi)化(hua)建(jian)設的健康發展，貫(guan)徹落實《廣東(dong)省(sheng)計算機信息(xi)系統安(an)全(quan)保護條(tiao)例》，根據有(you)關法律法規，制(zhi)定本辦法。

第二條 本(ben)辦(ban)法適用于廣東省行政區(qu)域內計算(suan)機信息系統(tong)的(de)安全保護。

第三條 縣級以上人民政府(fu)公安機關公共信息網(wang)絡安全(quan)(quan)監察部門(men)具體負責本行(xing)政區(qu)域內(nei)計算機信息系統的安全(quan)(quan)保護監管工(gong)作。

第二章 安全監督

第四條 公(gong)安(an)機關(guan)公(gong)共(gong)信息網(wang)絡安(an)全監察部(bu)門對計(ji)算(suan)機信息系統安(an)全保護工作行使下列職(zhi)責(ze)：

（一）監督、檢查、指導計(ji)算機信息(xi)系統(tong)安全(quan)保護工作；

（二）組織開展計算(suan)機信(xin)息系統安全(quan)等(deng)級(ji)保護；

（三）查(cha)處計算機(ji)違法犯罪案件；

（四）組織處置重大(da)計算機信息系統安全事故和事件；

（五(wu)）負責計算機病毒(du)和其他有害數據防治管理；

（六）負責計算機信息系統(tong)安全服務的(de)監督指(zhi)導；

（七）負責計算(suan)機信(xin)息系統安全專(zhuan)用產品的(de)監(jian)督(du)管理(li)；

（八）負責計算機信息系統安(an)全培訓(xun)管理；

（九）法(fa)律、法(fa)規和規章規定的(de)其他職責(ze)。

第五條 公安機關公共信息(xi)(xi)網絡安全監(jian)察部(bu)門應當對計算(suan)機信息(xi)(xi)系統落實實體安全、運行(xing)安全、信息(xi)(xi)安全和內容安全措施的情況(kuang)進行(xing)檢(jian)查。

對(dui)(dui)第三級(ji)(ji)計算(suan)機信(xin)息系統(tong)每(mei)年至(zhi)少(shao)(shao)檢(jian)查一次，對(dui)(dui)第四級(ji)(ji)計算(suan)機信(xin)息系統(tong)每(mei)半年至(zhi)少(shao)(shao)檢(jian)查一次。對(dui)(dui)第五級(ji)(ji)計算(suan)機信(xin)息系統(tong)，應當會同(tong)國家指定的專門部門進(jin)行檢(jian)查。

對其他計算(suan)機信息系統應(ying)當不定期開展檢查。

第六條 公安機關公共信息網絡安全(quan)監察部(bu)門發現(xian)計算機信息系(xi)統的(de)安全(quan)保護等級和安全(quan)措施不符合有關規定(ding)和技術標(biao)準，或(huo)者存在安全(quan)隱患的(de)，應當通知(zhi)運營、使用(yong)單位進(jin)行整(zheng)改。

第七條 公(gong)(gong)(gong)安(an)機(ji)關公(gong)(gong)(gong)共(gong)信息網絡安(an)全(quan)(quan)監(jian)察(cha)部門應(ying)當向公(gong)(gong)(gong)眾提供報警求助渠道，提供計(ji)算機(ji)信息系統安(an)全(quan)(quan)指導，發布(bu)安(an)全(quan)(quan)動態，開展安(an)全(quan)(quan)宣傳。

第三章 安全保護責任

第八條 單位和個(ge)人應當依(yi)照有關法(fa)規、規章和標(biao)準，對其所有、使用(yong)和管理(li)的計算機(ji)信(xin)息系統承擔相應的安全保護(hu)責任。

第九條 第(di)二級以上計算機信息(xi)系統的運營、使(shi)用(yong)單位應當建(jian)立(li)安全(quan)保護組織，并報所在(zai)地(di)地(di)級以上市人民政(zheng)府公安機關公共信息(xi)網絡安全(quan)監(jian)察部門備案。

第十條 安(an)(an)全保護(hu)組(zu)織保障本單位(wei)計(ji)算機(ji)信(xin)(xin)息(xi)系統的安(an)(an)全運行(xing)，組(zu)織本單位(wei)計(ji)算機(ji)信(xin)(xin)息(xi)系統的有害信(xin)(xin)息(xi)防治工作，組(zu)織開展(zhan)本單位(wei)計(ji)算機(ji)信(xin)(xin)息(xi)系統安(an)(an)全教育和培訓，向(xiang)公(gong)(gong)安(an)(an)機(ji)關公(gong)(gong)共信(xin)(xin)息(xi)網絡(luo)安(an)(an)全監(jian)察部門報告本單位(wei)計(ji)算機(ji)信(xin)(xin)息(xi)系統運行(xing)、服務和安(an)(an)全等情況，及時(shi)協助公(gong)(gong)安(an)(an)機(ji)關公(gong)(gong)共信(xin)(xin)息(xi)網絡(luo)安(an)(an)全監(jian)察部門查處違法犯(fan)罪和處置突發事件。

第十一條 互(hu)聯(lian)(lian)單位、互(hu)聯(lian)(lian)網(wang)接入(ru)服務(wu)單位、互(hu)聯(lian)(lian)網(wang)數據中心應當對(dui)接入(ru)本網(wang)絡(luo)的用戶進行資(zi)格審(shen)查(cha)，確認符合(he)國家和省有關規定后方可為其提(ti)供(gong)服務(wu)。

互聯網接(jie)入服務、信息服務單(dan)位(wei)以及互聯網數(shu)據中心應當向用戶宣傳相關(guan)法(fa)律法(fa)規，提供必(bi)要的安全保(bao)護(hu)措(cuo)施。

第十二條 個人(ren)主(zhu)頁、博(bo)客、聊(liao)天室(shi)、點(dian)對(dui)點(dian)服(fu)務(wu)等互聯網(wang)信息服(fu)務(wu)的(de)提供單(dan)位和(he)(he)使用者(zhe)應(ying)當依照國家(jia)和(he)(he)省有關規定，落實相應(ying)的(de)安全措(cuo)施(shi)。

第十三條 網吧、圖書館、學校(xiao)、賓館等(deng)提供互聯網上網服務的(de)場所應當安(an)(an)裝符合國(guo)家規定的(de)安(an)(an)全管理(li)系統。

第十四條 互聯(lian)單位、互聯(lian)網(wang)(wang)接入服務單位以(yi)及互聯(lian)網(wang)(wang)數據中心應當每(mei)月將(jiang)接入本網(wang)(wang)絡的用戶情(qing)況(kuang)報地(di)級(ji)以(yi)上市公安機關公共信息網(wang)(wang)絡安全(quan)監察部門(men)備(bei)案。

第十五條 計算機(ji)信(xin)息(xi)(xi)系統運營、使用(yong)單位應當接受公(gong)安(an)機(ji)關(guan)公(gong)共信(xin)息(xi)(xi)網(wang)絡安(an)全監察(cha)(cha)部門(men)(men)的監督、檢查、指導，如(ru)實提供安(an)全保護有關(guan)信(xin)息(xi)(xi)、資(zi)料及數據文件，不得變(bian)相(xiang)拒絕(jue)、拖延、阻(zu)礙(ai)公(gong)安(an)機(ji)關(guan)公(gong)共信(xin)息(xi)(xi)網(wang)絡安(an)全監察(cha)(cha)部門(men)(men)依法執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安(an)全專用產品必須取得(de)公安(an)部(bu)頒發(fa)的(de)銷售許可(ke)證方(fang)可(ke)銷售。

第十七條 生(sheng)產、銷售或者提供含有(you)計算(suan)機信息(xi)(xi)(xi)網絡(luo)(luo)遠(yuan)程控制、密碼猜(cai)解、安全（漏洞）檢測、信息(xi)(xi)(xi)群發技術(shu)的(de)(de)產品和工具的(de)(de)，應當(dang)在領取營業執(zhi)照后30日(ri)(ri)內（沒有(you)營業執(zhi)照的(de)(de)，自開辦之日(ri)(ri)起30日(ri)(ri)內）向單位所在地(di)地(di)級以上(shang)市(shi)人民政(zheng)府公安機關公共信息(xi)(xi)(xi)網絡(luo)(luo)安全監(jian)察部門備案，填(tian)寫《廣東省計算(suan)機信息(xi)(xi)(xi)網絡(luo)(luo)安全特種技術(shu)備案表》，并提交如下資料(liao)：

（一）單位簡況；

（二(er)）營業(ye)執照（或其他有效(xiao)證明）復印件；

（三(san)）研發和服務(wu)管理制度；

（四）主要經營管理人(ren)員、技術人(ren)員和服務人(ren)員有效證件復(fu)印件；

（五）主要產品(pin)情況(kuang)。

第十八條 安(an)全保護等級(ji)為第(di)三(san)級(ji)以上的計(ji)算(suan)機信息系統(tong)應當選用符合(he)下(xia)列條件(jian)的安(an)全專用產品：

（一）產品研制、生產單位是由(you)中(zhong)國(guo)公民、法(fa)人(ren)(ren)投資(zi)或(huo)者(zhe)國(guo)家投資(zi)或(huo)者(zhe)控股的，在中(zhong)華人(ren)(ren)民共(gong)和國(guo)境(jing)內(nei)具有(you)獨立的法(fa)人(ren)(ren)資(zi)格(ge)；

（二(er)）產品(pin)的核(he)心(xin)技術(shu)、關鍵(jian)部件(jian)具有我國(guo)自主知識產權；

（三）產品研制、生產單位及其主要業(ye)務、技術人員無(wu)犯罪記(ji)錄；

（四）產品研制(zhi)、生產單(dan)位聲明(ming)沒有(you)故意留有(you)或者設置漏洞、后門、木馬等程序和功(gong)能(neng)；

（五）對國(guo)家(jia)安全、社會秩序、公共利益不構成危(wei)害。

第十九條 符合第十八條規定(ding)的安(an)全專(zhuan)用(yong)產(chan)品和(he)生產(chan)單位應當到省公(gong)安(an)廳公(gong)共信(xin)息網絡安(an)全監察部(bu)門備案。

第二十條 為加強安(an)(an)全服(fu)務(wu)機(ji)構(gou)的(de)指導，推動(dong)安(an)(an)全服(fu)務(wu)質量和技術水平的(de)提高，廣東省對從事計(ji)算機(ji)信息系(xi)統安(an)(an)全設計(ji)、建(jian)設、檢測(ce)、評估等安(an)(an)全服(fu)務(wu)的(de)機(ji)構(gou)，根(gen)據其注冊資本(ben)、服(fu)務(wu)業績、技術力量、組織(zhi)管(guan)理情況實行(xing)分級指導。

第五章 安全等級測評

第二十一條 第二級(ji)(ji)以上的計算(suan)機信(xin)息系(xi)統(tong)的安全(quan)(quan)測評應當選擇符合下列(lie)條件(jian)的計算(suan)機信(xin)息系(xi)統(tong)安全(quan)(quan)等級(ji)(ji)測評機構（簡(jian)稱測評機構）承擔：

（一）在中(zhong)華人民共和(he)國境內注冊成立（港(gang)澳臺地區除外），具有相應(ying)經營范(fan)圍的營業執照(zhao)，注冊資本100萬元以上；

（二）由中國公民投資(zi)、中國法(fa)人投資(zi)或者(zhe)國家投資(zi)的(de)企事業單(dan)位(wei)（港澳臺地區除(chu)外(wai)）；

（三）近3年完成的測評項目(mu)總(zong)值150萬元以上；

（四）具有計算機安全(quan)或相關專(zhuan)業(ye)資(zi)格證書(shu)的專(zhuan)業(ye)技(ji)術人(ren)員不(bu)(bu)少于(yu)20人(ren)，其中大學本科以上學歷的人(ren)員不(bu)(bu)少于(yu)15人(ren)；

（五）管理人員應當具(ju)有3年以上從事計(ji)算機信息系(xi)統(tong)安全(quan)技(ji)術(shu)領域企業管理工作(zuo)經歷，技(ji)術(shu)負責人已獲得(de)計(ji)算機信息系(xi)統(tong)安全(quan)技(ji)術(shu)相關專業的高(gao)級(ji)職稱，從事安全(quan)測評工作(zuo)不少(shao)于3年，無犯罪記錄；

（六）工作人員僅限于中國(guo)公民，法人及(ji)主要業(ye)務、技術人員無犯(fan)罪記(ji)錄(lu)；

（七）具有與所承擔項目適應的技術裝(zhuang)備(bei)；

（八）具有(you)完備的保密管(guan)(guan)理(li)(li)、項目(mu)管(guan)(guan)理(li)(li)、質量管(guan)(guan)理(li)(li)、人(ren)員管(guan)(guan)理(li)(li)和培(pei)訓教育等安(an)全管(guan)(guan)理(li)(li)制度；

（九）對國家安全、社會秩序(xu)、公共(gong)利益(yi)不構成(cheng)威脅。

第二十二條 廣東省(sheng)對測評(ping)機(ji)構實施備案制度。符合第(di)二十一條規定的條件(jian)，承(cheng)擔第(di)二級以上的計(ji)算機(ji)信(xin)息系統測評(ping)工作(zuo)的機(ji)構應當到(dao)省(sheng)公(gong)安(an)廳(ting)公(gong)共信(xin)息網絡安(an)全監察部門備案。

第二十三條 省公安(an)廳公共信息網絡安(an)全監察部門對已備案的測評機構進行公布。

第二十四條 測評機構應當履(lv)行下列義務：

（一）遵(zun)守國家有關法律法規和技術(shu)標準，提供安全(quan)、客(ke)觀、公正的檢測(ce)評(ping)估服務，保證測(ce)評(ping)的質量和效果(guo)；

（二）保(bao)守(shou)在測(ce)評(ping)活動(dong)中知悉(xi)的國家秘密、商業(ye)秘密和個人隱私，防(fang)范測(ce)評(ping)風險(xian)；

（三）對測(ce)評人員進(jin)行(xing)安全保(bao)密(mi)教育，與其簽訂安全保(bao)密(mi)責(ze)任書，規(gui)定應當(dang)履行(xing)的安全保(bao)密(mi)義(yi)務(wu)和承擔的法律責(ze)任，并負責(ze)檢(jian)查落實。

第二十五條 第二級(ji)以上的(de)計算機信(xin)息(xi)系統建設完(wan)成后，使用(yong)單位(wei)應當(dang)委托符合(he)規定的(de)測評機構安全(quan)測評合(he)格方可(ke)投入使用(yong)。測評活動應當(dang)接受公安機關公共信(xin)息(xi)網絡(luo)安全(quan)監察部(bu)門(men)的(de)監督(du)。

第二十六條 計算機信息(xi)系統運營、使(shi)用單位(wei)委托安全(quan)測(ce)評機構測(ce)評，應當提(ti)交下列資料：

（一）安全測(ce)評委托(tuo)書；

（二）計算機(ji)信息系(xi)統(tong)應(ying)用需(xu)求、系(xi)統(tong)結構(gou)拓(tuo)撲及說明(ming)、系(xi)統(tong)安全組織結構(gou)和管理制度(du)、安全保護(hu)設施(shi)設計實(shi)施(shi)方(fang)案或(huo)者改建實(shi)施(shi)方(fang)案、系(xi)統(tong)軟件(jian)硬(ying)件(jian)和信息安全產品清單。

第二十七條 安全(quan)測評(ping)機(ji)構在收(shou)到委托(tuo)材料后，應當與委托(tuo)方協商(shang)制訂安全(quan)測評(ping)計劃，開展安全(quan)測評(ping)工(gong)作，并(bing)出(chu)具(ju)安全(quan)測評(ping)報告。

經測評(ping)(ping)，計算機(ji)信(xin)息系統(tong)(tong)安全狀況未達到(dao)國(guo)家(jia)有關規定和標(biao)準(zhun)的(de)要求，委(wei)托單位應當根(gen)據測評(ping)(ping)報告(gao)的(de)建(jian)議，完(wan)善(shan)計算機(ji)信(xin)息系統(tong)(tong)安全建(jian)設，并重(zhong)新(xin)提(ti)出安全測評(ping)(ping)委(wei)托。

測(ce)評機(ji)構對計算機(ji)信息系(xi)統(tong)進行使用前安全測(ce)評，應當預先報(bao)告地級以(yi)上市(shi)公(gong)(gong)安機(ji)關公(gong)(gong)共信息網絡(luo)(luo)安全監(jian)察(cha)部(bu)門。安全測(ce)評報(bao)告由計算機(ji)信息系(xi)統(tong)運營、使用單(dan)位報(bao)地級以(yi)上市(shi)公(gong)(gong)安機(ji)關公(gong)(gong)共信息網絡(luo)(luo)安全監(jian)察(cha)部(bu)門。

第二十八條 第(di)三(san)級(ji)計算機信(xin)(xin)息系統(tong)應(ying)當(dang)每(mei)(mei)年(nian)至(zhi)少進行一(yi)(yi)次安(an)全測評，第(di)四級(ji)計算機信(xin)(xin)息系統(tong)應(ying)當(dang)每(mei)(mei)半年(nian)至(zhi)少進行一(yi)(yi)次安(an)全測評，第(di)五(wu)級(ji)計算機信(xin)(xin)息系統(tong)應(ying)當(dang)依據特殊安(an)全要求進行安(an)全測評。

第六章 應急處置

第二十九條 公安機(ji)關(guan)公共信(xin)(xin)息網絡(luo)安全監察部門與所在地安全服務機(ji)構、互聯(lian)網運營單(dan)位和其他(ta)計(ji)算(suan)機(ji)信(xin)(xin)息系(xi)統運營、使(shi)用單(dan)位應當建立(li)聯(lian)防機(ji)制，依法及(ji)時(shi)查處通過計(ji)算(suan)機(ji)信(xin)(xin)息系(xi)統進行(xing)的(de)違法犯罪行(xing)為，組(zu)織處置重大(da)突發事件。

第三十條 對計算機(ji)信(xin)息(xi)(xi)系統中發生的(de)案(an)件和重大安(an)全事故，計算機(ji)信(xin)息(xi)(xi)系統的(de)運(yun)營(ying)、使(shi)用單位應當在二(er)十四(si)小時(shi)內報告縣級(ji)以上人民政府公(gong)安(an)機(ji)關公(gong)共信(xin)息(xi)(xi)網絡(luo)安(an)全監察部門，并保留(liu)有關原始記(ji)錄。

第三十一條 第(di)二級以上的計算機信息(xi)系統運營、使用單位應當制定重(zhong)大突(tu)發事(shi)件應急(ji)處置預案并定期實施演練(lian)。

第三十二條 計算機信息系統發生重大突(tu)發事件，有(you)關(guan)(guan)單位應(ying)當按照(zhao)應(ying)急處置(zhi)預(yu)案的(de)要(yao)求(qiu)采(cai)取相應(ying)的(de)處置(zhi)措施，并服從公安(an)機關(guan)(guan)和(he)國家指(zhi)定(ding)的(de)專門部門的(de)調度。

第三十三條 地級市(shi)以上人(ren)民(min)政府公安(an)(an)機關(guan)公共信息網絡安(an)(an)全(quan)(quan)監察部(bu)門(men)經(jing)本機關(guan)主管領(ling)導批準(zhun)，為保護(hu)計(ji)算(suan)機信息系統(tong)安(an)(an)全(quan)(quan)，在發生重大突發事件，危及(ji)國家安(an)(an)全(quan)(quan)、公共安(an)(an)全(quan)(quan)及(ji)社(she)會穩定(ding)的緊急情況(kuang)下，可以采取二十四小時(shi)內暫時(shi)停機、暫停聯網、備份(fen)數(shu)據(ju)等(deng)措施。

第七章 安全培訓

第三十四條 省公安(an)(an)廳、人事(shi)廳聯合(he)成立(li)的省信(xin)息網(wang)絡(luo)安(an)(an)全專(zhuan)業(ye)(ye)技(ji)(ji)術人員(yuan)(yuan)繼(ji)(ji)續教育工作(zuo)領導小(xiao)組，負責全省信(xin)息網(wang)絡(luo)安(an)(an)全專(zhuan)業(ye)(ye)技(ji)(ji)術人員(yuan)(yuan)繼(ji)(ji)續教育工作(zuo)的組織和領導。下設省信(xin)息網(wang)絡(luo)安(an)(an)全專(zhuan)業(ye)(ye)技(ji)(ji)術人員(yuan)(yuan)繼(ji)(ji)續教育工作(zuo)辦公室(shi)，具(ju)體負責日(ri)常(chang)管理工作(zuo)。

第三十五條 下(xia)列人員(yuan)應當(dang)參加信(xin)息網絡安(an)(an)全專(zhuan)(zhuan)業技術人員(yuan)繼(ji)續(xu)教育(yu)，取得(de)省信(xin)息網絡安(an)(an)全專(zhuan)(zhuan)業技術人員(yuan)繼(ji)續(xu)教育(yu)工(gong)作辦公室頒(ban)發的信(xin)息網絡安(an)(an)全專(zhuan)(zhuan)業技術人員(yuan)繼(ji)續(xu)教育(yu)合格(ge)證書，持證上崗：

（一）計算機信(xin)(xin)息系統運營、使用單位信(xin)(xin)息安全管理責任人、信(xin)(xin)息審查員；

（二）互聯網接(jie)入服務、數據中心服務、信息服務、上(shang)網服務提(ti)供單位安全管理員、專業(ye)技(ji)術人員；

（三(san)）安全專用(yong)產品生(sheng)產單(dan)位專業技術(shu)人員；

（四）安全服務機構專(zhuan)業技術人(ren)員、安全服務管(guan)理(li)人(ren)員；

（五）其他從(cong)事計(ji)算機(ji)信(xin)息系統安(an)全保護工作的人員。

第三十六條 信息網絡安全專業技術人(ren)員繼續教(jiao)育(yu)由省信息網絡安全專業技術人(ren)員繼續教(jiao)育(yu)工作辦公(gong)室授權的施教(jiao)機構(gou)負責實施。施教(jiao)機構(gou)實行統籌規劃。

第三十七條 信(xin)息網(wang)絡安全專業技術人(ren)員繼續(xu)教(jiao)育培訓和考試按照有關規定(ding)進(jin)行，實行統一(yi)教(jiao)學大綱，統一(yi)教(jiao)材，統一(yi)考試，統一(yi)發證。

考試合格的，由省信息網絡安(an)全專業(ye)技術人員繼續教育工作辦(ban)公室(shi)發給(gei)信息網絡安(an)全專業(ye)技術人員繼續教育證(zheng)書(shu)。

第八章 法律責任

第三十八條 違反本辦法(fa)的規(gui)定，依照有關法(fa)律、法(fa)規(gui)和(he)規(gui)章處罰。

第九章 附則

第三十九條 本(ben)細則(ze)下列(lie)用語的含(han)義：實(shi)體(ti)安全，指保護(hu)計(ji)算(suan)機信息系統的環境，計(ji)算(suan)機設(she)備(bei)、設(she)施（含(han)網絡）以及其它媒體(ti)免(mian)遭地震、水災、火災、雷電、有害氣體(ti)和其它環境事故（如電磁(ci)污染等）破壞。

運行(xing)安全，指保護計算機信息(xi)系統的(de)信息(xi)處理過程順(shun)利進行(xing)。

信息安全，指保障信息的(de)完整(zheng)性(xing)、保密性(xing)、可用(yong)性(xing)和(he)可控性(xing)。

內容安全，指確(que)保計算機信(xin)息系統中(zhong)傳輸的(de)信(xin)息所(suo)承載(zai)的(de)內容的(de)合法性。

安全（漏洞）檢測，指利(li)用(yong)計算機技(ji)術手段掃描、探測計算機信(xin)息系統安全漏洞。

第四十條 本辦法(fa)規定(ding)的“以上”含本數。

第四十一條 本辦法規定(ding)的有關(guan)表(biao)格和證(zheng)書(shu)由省(sheng)公安廳制定(ding)式樣，統(tong)一監制。

第四十二條 本(ben)辦法由省公安廳負責解釋。

第四十三條 本辦法自2008年12月1日起施行。