廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)安廳(ting)2008年9月27日以粵公(gong)通字(zi)〔2008〕228號(hao)發布 自2008年12月1日起施行）

第一章 總則

第一條 為保護計(ji)算機信(xin)(xin)息系統安(an)全，促(cu)進信(xin)(xin)息化建(jian)設(she)的健(jian)康發(fa)展，貫徹(che)落實(shi)《廣東省(sheng)計(ji)算機信(xin)(xin)息系統安(an)全保護條例》，根據有關法(fa)(fa)律法(fa)(fa)規，制(zhi)定本辦(ban)法(fa)(fa)。

第二條 本辦法適用于(yu)廣東省(sheng)行政區域內(nei)計算(suan)機(ji)信息系統的(de)安全保(bao)護(hu)。

第三條 縣級以上人民(min)政府公安機(ji)關公共信(xin)(xin)息網絡安全監察部(bu)門具體負責本行(xing)政區域內計算機(ji)信(xin)(xin)息系統的安全保護監管工作。

第二章 安全監督

第四條 公安機關公共信息網絡(luo)安全監察部門對計算機信息系統(tong)安全保護工作(zuo)行(xing)使下列(lie)職責：

（一）監督、檢(jian)查、指導(dao)計算機信息系統安全保護工作(zuo)；

（二）組織開展計(ji)算(suan)機信(xin)息(xi)系統(tong)安全等級保護；

（三）查處計算機違法犯罪案件；

（四）組織處置重大計算機信息系統安全事故(gu)和事件；

（五(wu)）負責計算(suan)機(ji)病毒(du)和其他有害數據防治管理；

（六）負(fu)責計算機信息系統安全(quan)服(fu)務的(de)監督指導；

（七）負責(ze)計(ji)算機信(xin)息系(xi)統安全專(zhuan)用(yong)產(chan)品(pin)的監督管理(li)；

（八）負責(ze)計算機信息系統安全培訓管理；

（九）法(fa)律、法(fa)規(gui)(gui)和規(gui)(gui)章規(gui)(gui)定(ding)的其他職責。

第五條 公(gong)安機關公(gong)共(gong)信(xin)息(xi)(xi)網絡安全(quan)監察部門應當對計算機信(xin)息(xi)(xi)系統(tong)落(luo)實實體安全(quan)、運行安全(quan)、信(xin)息(xi)(xi)安全(quan)和內(nei)容安全(quan)措施(shi)的情況進行檢查。

對第(di)(di)三級計算機信(xin)息(xi)系(xi)統(tong)每年至(zhi)少(shao)檢查一次，對第(di)(di)四級計算機信(xin)息(xi)系(xi)統(tong)每半年至(zhi)少(shao)檢查一次。對第(di)(di)五級計算機信(xin)息(xi)系(xi)統(tong)，應當(dang)會同國(guo)家指(zhi)定的專門部門進(jin)行檢查。

對其他計(ji)算機信息系統(tong)應(ying)當不定期(qi)開展檢查。

第六條 公安(an)(an)機(ji)關公共信(xin)息網絡安(an)(an)全(quan)監察部門(men)發(fa)現計算機(ji)信(xin)息系統的安(an)(an)全(quan)保護等級和安(an)(an)全(quan)措施不符合有關規定和技術標準，或者存(cun)在安(an)(an)全(quan)隱(yin)患的，應當通知運營、使用單位進(jin)行整改。

第七條 公(gong)安(an)(an)機關(guan)公(gong)共(gong)信息網(wang)絡安(an)(an)全監察部門應當向公(gong)眾提供報警求(qiu)助(zhu)渠道，提供計算機信息系統安(an)(an)全指導，發布安(an)(an)全動態，開展(zhan)安(an)(an)全宣傳。

第三章 安全保護責任

第八條 單位(wei)和個人應(ying)當依照有(you)關法規、規章和標準，對其所(suo)有(you)、使用和管理的計算機信息系統承擔相應(ying)的安全保護責任。

第九條 第二級以上計算機(ji)信(xin)息系統的運營(ying)、使用單位(wei)應當建立安(an)(an)全(quan)保護組織，并報所在(zai)地地級以上市人(ren)民政府公(gong)安(an)(an)機(ji)關公(gong)共(gong)信(xin)息網絡安(an)(an)全(quan)監察部門備案。

第十條 安(an)(an)(an)全(quan)(quan)(quan)保護組(zu)(zu)織(zhi)保障本單(dan)(dan)(dan)位(wei)計(ji)算(suan)機信(xin)(xin)息(xi)(xi)(xi)系統(tong)的(de)(de)安(an)(an)(an)全(quan)(quan)(quan)運行(xing)，組(zu)(zu)織(zhi)本單(dan)(dan)(dan)位(wei)計(ji)算(suan)機信(xin)(xin)息(xi)(xi)(xi)系統(tong)的(de)(de)有害信(xin)(xin)息(xi)(xi)(xi)防(fang)治工作，組(zu)(zu)織(zhi)開展本單(dan)(dan)(dan)位(wei)計(ji)算(suan)機信(xin)(xin)息(xi)(xi)(xi)系統(tong)安(an)(an)(an)全(quan)(quan)(quan)教(jiao)育(yu)和培訓(xun)，向(xiang)公(gong)安(an)(an)(an)機關(guan)公(gong)共信(xin)(xin)息(xi)(xi)(xi)網(wang)(wang)絡安(an)(an)(an)全(quan)(quan)(quan)監察部門報告(gao)本單(dan)(dan)(dan)位(wei)計(ji)算(suan)機信(xin)(xin)息(xi)(xi)(xi)系統(tong)運行(xing)、服務和安(an)(an)(an)全(quan)(quan)(quan)等情況，及時協助(zhu)公(gong)安(an)(an)(an)機關(guan)公(gong)共信(xin)(xin)息(xi)(xi)(xi)網(wang)(wang)絡安(an)(an)(an)全(quan)(quan)(quan)監察部門查處(chu)違法(fa)犯(fan)罪(zui)和處(chu)置突發事件。

第十一條 互(hu)聯單位、互(hu)聯網接入(ru)服務單位、互(hu)聯網數據中心應當對接入(ru)本(ben)網絡(luo)的用戶進行(xing)資格(ge)審查，確認符合國家和省有關規定后方(fang)可為其(qi)提供(gong)服務。

互(hu)聯(lian)網(wang)接入(ru)服務(wu)、信息服務(wu)單位以及互(hu)聯(lian)網(wang)數據中心(xin)應當向用戶(hu)宣(xuan)傳相關法律法規，提供必要的(de)安全(quan)保護措施。

第十二條 個人主頁、博(bo)客(ke)、聊天室、點對(dui)點服(fu)務(wu)(wu)等(deng)互聯(lian)網信息服(fu)務(wu)(wu)的提供單(dan)位和使(shi)用者應(ying)當(dang)依照國家和省有(you)關規(gui)定，落實相應(ying)的安全措施。

第十三條 網吧、圖(tu)書館(guan)、學校(xiao)、賓館(guan)等提供互(hu)聯網上網服務(wu)的場所應當安裝符合(he)國家規定的安全(quan)管理系統。

第十四條 互聯單位、互聯網(wang)接(jie)入(ru)服務單位以(yi)(yi)及互聯網(wang)數據(ju)中心(xin)應(ying)當每月將接(jie)入(ru)本網(wang)絡(luo)的用戶情(qing)況報地級以(yi)(yi)上市公安(an)機關公共信(xin)息網(wang)絡(luo)安(an)全監察部(bu)門(men)備案。

第十五條 計算(suan)機(ji)信(xin)(xin)(xin)息(xi)系統(tong)運營、使用單位應(ying)當接受公(gong)安機(ji)關(guan)(guan)公(gong)共信(xin)(xin)(xin)息(xi)網(wang)絡安全(quan)監察(cha)部(bu)門的(de)監督(du)、檢查、指導(dao)，如實提(ti)供安全(quan)保護有關(guan)(guan)信(xin)(xin)(xin)息(xi)、資料及數據文件，不得變相拒絕、拖延(yan)、阻礙公(gong)安機(ji)關(guan)(guan)公(gong)共信(xin)(xin)(xin)息(xi)網(wang)絡安全(quan)監察(cha)部(bu)門依法執(zhi)行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品必須取得公安部頒發的銷售許可(ke)證(zheng)方(fang)可(ke)銷售。

第十七條 生產(chan)、銷售或者(zhe)提(ti)供含有計算機信息(xi)(xi)網絡(luo)遠程控制、密碼猜(cai)解、安(an)(an)全（漏洞）檢測、信息(xi)(xi)群發技(ji)(ji)術(shu)的(de)(de)產(chan)品和(he)工(gong)具的(de)(de)，應當在領取營業執照(zhao)后30日(ri)內（沒有營業執照(zhao)的(de)(de)，自開辦(ban)之(zhi)日(ri)起30日(ri)內）向(xiang)單位所在地地級(ji)以(yi)上市人民(min)政(zheng)府(fu)公(gong)安(an)(an)機關公(gong)共信息(xi)(xi)網絡(luo)安(an)(an)全監(jian)察部(bu)門備案(an)，填寫《廣東省計算機信息(xi)(xi)網絡(luo)安(an)(an)全特種技(ji)(ji)術(shu)備案(an)表》，并提(ti)交如下資(zi)料：

（一）單位簡況；

（二）營業執照（或其他有效證明）復(fu)印件；

（三）研(yan)發和服務管理制(zhi)度；

（四）主(zhu)要經營管理人員(yuan)、技術人員(yuan)和服務人員(yuan)有效證件復印(yin)件；

（五）主要產品情(qing)況(kuang)。

第十八條 安全保護等級(ji)為第三(san)級(ji)以上的(de)計算(suan)機信息系統(tong)應當選用符合下(xia)列條件的(de)安全專用產品：

（一）產(chan)品研制、生產(chan)單(dan)位(wei)是由中國公民、法人投(tou)(tou)資(zi)或者國家投(tou)(tou)資(zi)或者控股的(de)，在中華人民共和國境內具有獨立(li)的(de)法人資(zi)格；

（二）產品(pin)的核(he)心技術、關鍵部件具有(you)我(wo)國自主知識產權(quan)；

（三(san)）產品研制、生(sheng)產單位及(ji)其主要業務(wu)、技(ji)術人員(yuan)無犯罪記錄；

（四）產(chan)品研制、生產(chan)單(dan)位聲明沒有(you)故意留有(you)或者設置漏洞、后門、木馬等程序和功能(neng)；

（五）對(dui)國(guo)家安全、社會(hui)秩序、公共利益不(bu)構成危害(hai)。

第十九條 符(fu)合第十八條(tiao)規定的安全專(zhuan)用(yong)產品和生產單位(wei)應當到省公安廳(ting)公共(gong)信息網絡安全監察部門備案。

第二十條 為加強安(an)全(quan)(quan)服(fu)務機構的指導，推動(dong)安(an)全(quan)(quan)服(fu)務質量和技術(shu)水平的提高(gao)，廣東省對(dui)從(cong)事計(ji)算(suan)機信息系統安(an)全(quan)(quan)設(she)計(ji)、建設(she)、檢測、評估等(deng)安(an)全(quan)(quan)服(fu)務的機構，根據其注冊資本、服(fu)務業績、技術(shu)力(li)量、組織管理(li)情況實(shi)行(xing)分級指導。

第五章 安全等級測評

第二十一條 第二級以上的(de)計算(suan)(suan)機(ji)信(xin)息系統(tong)的(de)安全(quan)測(ce)評應當選(xuan)擇符(fu)合(he)下(xia)列條件(jian)的(de)計算(suan)(suan)機(ji)信(xin)息系統(tong)安全(quan)等級測(ce)評機(ji)構（簡稱(cheng)測(ce)評機(ji)構）承擔：

（一）在(zai)中華人民共和國境內(nei)注(zhu)冊成立（港澳臺地區除外），具(ju)有相應經營(ying)(ying)范(fan)圍的(de)營(ying)(ying)業執(zhi)照，注(zhu)冊資本100萬元(yuan)以上；

（二）由中國(guo)(guo)公(gong)民投(tou)資、中國(guo)(guo)法人(ren)投(tou)資或(huo)者國(guo)(guo)家投(tou)資的企事業單位（港澳臺地(di)區除外）；

（三(san)）近3年完成的(de)測評(ping)項(xiang)目總(zong)值150萬(wan)元以(yi)上；

（四）具有(you)計算機安全(quan)或相關專(zhuan)(zhuan)業資格證書的專(zhuan)(zhuan)業技術人(ren)員不少于20人(ren)，其中(zhong)大學(xue)本科以(yi)上學(xue)歷的人(ren)員不少于15人(ren)；

（五）管理人(ren)(ren)員應當具有3年(nian)以上從事(shi)計算機(ji)信息系統安全技術領域企業(ye)管理工作(zuo)經歷，技術負責人(ren)(ren)已獲得計算機(ji)信息系統安全技術相(xiang)關專業(ye)的高級職稱，從事(shi)安全測(ce)評工作(zuo)不少(shao)于3年(nian)，無犯罪記錄；

（六）工作人員僅限于中國公民，法人及主要業(ye)務、技術(shu)人員無犯罪記錄；

（七(qi)）具有(you)與(yu)所承擔項目適應的技術裝備；

（八）具有完備(bei)的保密管理、項目管理、質(zhi)量管理、人員(yuan)管理和培訓教育(yu)等(deng)安全管理制(zhi)度；

（九）對國家安全、社會秩序、公共利(li)益不構成(cheng)威(wei)脅。

第二十二條 廣(guang)東省對測(ce)評機構實施備(bei)案制(zhi)度。符(fu)合第二十一條規定的(de)條件(jian)，承擔第二級以上的(de)計算機信(xin)息(xi)系統(tong)測(ce)評工作的(de)機構應(ying)當到省公安(an)廳公共信(xin)息(xi)網絡安(an)全監察部門備(bei)案。

第二十三條 省公安(an)廳公共信息網絡(luo)安(an)全監察部門(men)對已(yi)備案的測評機構進(jin)行公布。

第二十四條 測評(ping)機構應(ying)當履(lv)行(xing)下列義務：

（一）遵守國家有(you)關法律法規和(he)技術(shu)標(biao)準(zhun)，提供安全、客觀、公正(zheng)的檢測評估服(fu)務，保證(zheng)測評的質量和(he)效果(guo)；

（二）保守在測評(ping)活動中(zhong)知悉(xi)的國家(jia)秘(mi)密、商業秘(mi)密和個(ge)人隱私，防(fang)范(fan)測評(ping)風險；

（三）對測評人(ren)員進行(xing)安全保密(mi)教育，與其簽訂安全保密(mi)責(ze)(ze)任書，規(gui)定應當履行(xing)的安全保密(mi)義(yi)務和承擔的法律責(ze)(ze)任，并(bing)負責(ze)(ze)檢查落實。

第二十五條 第二級以上的計算機(ji)信(xin)息系統建設完(wan)成后，使(shi)用(yong)單位應當委托符(fu)合(he)規定的測(ce)(ce)評(ping)機(ji)構安全(quan)(quan)測(ce)(ce)評(ping)合(he)格方可投入使(shi)用(yong)。測(ce)(ce)評(ping)活動應當接受(shou)公安機(ji)關公共信(xin)息網絡安全(quan)(quan)監察部門(men)的監督。

第二十六條 計算機信息系統運營、使用單位委(wei)托安全(quan)測評機構測評，應當(dang)提(ti)交下列(lie)資料：

（一）安全測評委托書；

（二(er)）計(ji)算機(ji)信息系(xi)統應(ying)用需求、系(xi)統結構拓(tuo)撲及說明、系(xi)統安(an)全(quan)組(zu)織結構和(he)管理制度、安(an)全(quan)保護設(she)(she)施(shi)(shi)設(she)(she)計(ji)實施(shi)(shi)方案(an)或者改建實施(shi)(shi)方案(an)、系(xi)統軟件硬件和(he)信息安(an)全(quan)產品清單(dan)。

第二十七條 安全(quan)測(ce)評(ping)機構在收(shou)到委(wei)托(tuo)材料后，應當與(yu)委(wei)托(tuo)方協商(shang)制訂安全(quan)測(ce)評(ping)計劃，開展安全(quan)測(ce)評(ping)工作，并出具(ju)安全(quan)測(ce)評(ping)報告。

經測(ce)評，計算機信(xin)息系統安全(quan)狀況未達到國(guo)家(jia)有關規定和標準的要求，委托單位應當(dang)根(gen)據測(ce)評報告的建(jian)議，完善(shan)計算機信(xin)息系統安全(quan)建(jian)設，并重新提出安全(quan)測(ce)評委托。

測評機(ji)(ji)構(gou)對計(ji)算機(ji)(ji)信(xin)息(xi)(xi)系統進行(xing)使用前安(an)全(quan)測評，應當預(yu)先報告地級以(yi)(yi)上(shang)市公安(an)機(ji)(ji)關(guan)公共信(xin)息(xi)(xi)網(wang)絡安(an)全(quan)監察(cha)部門。安(an)全(quan)測評報告由(you)計(ji)算機(ji)(ji)信(xin)息(xi)(xi)系統運營、使用單位報地級以(yi)(yi)上(shang)市公安(an)機(ji)(ji)關(guan)公共信(xin)息(xi)(xi)網(wang)絡安(an)全(quan)監察(cha)部門。

第二十八條 第(di)三級(ji)計(ji)算(suan)機信息(xi)系統應(ying)當每(mei)年至少進(jin)行一次安(an)(an)全(quan)測(ce)評(ping)，第(di)四級(ji)計(ji)算(suan)機信息(xi)系統應(ying)當每(mei)半年至少進(jin)行一次安(an)(an)全(quan)測(ce)評(ping)，第(di)五(wu)級(ji)計(ji)算(suan)機信息(xi)系統應(ying)當依據特殊(shu)安(an)(an)全(quan)要求進(jin)行安(an)(an)全(quan)測(ce)評(ping)。

第六章 應急處置

第二十九條 公(gong)安(an)(an)機關公(gong)共(gong)信(xin)息(xi)網絡安(an)(an)全監察(cha)部門與所在(zai)地安(an)(an)全服務機構、互聯(lian)網運(yun)營單位(wei)和其他計算機信(xin)息(xi)系統運(yun)營、使用單位(wei)應當建立(li)聯(lian)防機制，依法及時查處通過計算機信(xin)息(xi)系統進行的(de)違法犯罪行為(wei)，組(zu)織處置重大突(tu)發事件(jian)。

第三十條 對計算(suan)(suan)機(ji)(ji)信息(xi)系統中發生的(de)案件和重大安全事(shi)故(gu)，計算(suan)(suan)機(ji)(ji)信息(xi)系統的(de)運(yun)營(ying)、使(shi)用單位應當在二十四小(xiao)時內(nei)報告縣級以上(shang)人民政(zheng)府公安機(ji)(ji)關公共信息(xi)網絡安全監察部(bu)門，并(bing)保留有關原(yuan)始記錄。

第三十一條 第二級以(yi)上的計算(suan)機信息系(xi)統運營、使用單位應當制定(ding)重大突(tu)發事件(jian)應急處置預(yu)案并定(ding)期實施演練。

第三十二條 計算機(ji)(ji)信息系統發生重(zhong)大(da)突發事(shi)件，有關單位(wei)應(ying)(ying)當按照應(ying)(ying)急處置(zhi)預案的(de)要求采取相應(ying)(ying)的(de)處置(zhi)措施，并服從公安機(ji)(ji)關和國家指定的(de)專門部門的(de)調度。

第三十三條 地級市以上人民政府公安(an)機關公共信(xin)息(xi)(xi)網(wang)絡安(an)全(quan)監察部門(men)經本機關主(zhu)管(guan)領導批準，為保(bao)護計(ji)算機信(xin)息(xi)(xi)系統(tong)安(an)全(quan)，在發(fa)生重大突發(fa)事(shi)件，危及(ji)國家(jia)安(an)全(quan)、公共安(an)全(quan)及(ji)社會穩定的緊急情況下，可以采取二十四小時內暫(zan)(zan)時停機、暫(zan)(zan)停聯網(wang)、備份(fen)數據(ju)等措施。

第七章 安全培訓

第三十四條 省公安廳(ting)、人事廳(ting)聯合(he)成立的(de)省信(xin)息網(wang)絡安全(quan)專業技術人員(yuan)繼(ji)續(xu)教(jiao)(jiao)育(yu)工(gong)作(zuo)領導小組(zu)，負(fu)責(ze)全(quan)省信(xin)息網(wang)絡安全(quan)專業技術人員(yuan)繼(ji)續(xu)教(jiao)(jiao)育(yu)工(gong)作(zuo)的(de)組(zu)織(zhi)和領導。下設省信(xin)息網(wang)絡安全(quan)專業技術人員(yuan)繼(ji)續(xu)教(jiao)(jiao)育(yu)工(gong)作(zuo)辦(ban)公室(shi)，具體負(fu)責(ze)日常(chang)管理工(gong)作(zuo)。

第三十五條 下列人員應當參(can)加(jia)信(xin)(xin)息(xi)網(wang)(wang)絡(luo)安全(quan)專業(ye)技術人員繼續教育(yu)，取(qu)得(de)省信(xin)(xin)息(xi)網(wang)(wang)絡(luo)安全(quan)專業(ye)技術人員繼續教育(yu)工作(zuo)辦公室頒發的(de)信(xin)(xin)息(xi)網(wang)(wang)絡(luo)安全(quan)專業(ye)技術人員繼續教育(yu)合(he)格證(zheng)書，持(chi)證(zheng)上(shang)崗：

（一）計算機信息系統(tong)運營、使用單位信息安全管理責任人(ren)、信息審查員；

（二）互聯(lian)網接入服(fu)務(wu)、數據(ju)中心服(fu)務(wu)、信息(xi)服(fu)務(wu)、上網服(fu)務(wu)提供單(dan)位(wei)安全管理員、專(zhuan)業技(ji)術人員；

（三）安全專(zhuan)用產品生(sheng)產單位專(zhuan)業技術人員；

（四(si)）安全(quan)服務機構專業技術人員、安全(quan)服務管(guan)理人員；

（五）其他從(cong)事計算機信息系統安全(quan)保護工(gong)作的人員。

第三十六條 信息(xi)(xi)網絡安(an)全專業技術人員(yuan)繼續(xu)教(jiao)育由省信息(xi)(xi)網絡安(an)全專業技術人員(yuan)繼續(xu)教(jiao)育工作(zuo)辦公室(shi)授權的施教(jiao)機(ji)構(gou)負責實施。施教(jiao)機(ji)構(gou)實行統(tong)籌(chou)規劃(hua)。

第三十七條 信(xin)息網(wang)絡安全專業技術人員(yuan)繼續教育培訓(xun)和考(kao)試按照(zhao)有(you)關規定進行(xing)，實行(xing)統一教學大(da)綱，統一教材，統一考(kao)試，統一發證(zheng)。

考試(shi)合(he)格的，由省信息網絡安全專(zhuan)業技(ji)術(shu)人員(yuan)繼續教育(yu)(yu)工作辦公室發給信息網絡安全專(zhuan)業技(ji)術(shu)人員(yuan)繼續教育(yu)(yu)證書。

第八章 法律責任

第三十八條 違反本辦法(fa)的規定，依照有關法(fa)律、法(fa)規和規章處(chu)罰。

第九章 附則

第三十九條 本(ben)細則(ze)下列用語的(de)(de)含義：實體安全，指(zhi)保(bao)護計算機信息系統(tong)的(de)(de)環境(jing)，計算機設備、設施（含網絡）以及其它媒體免遭地震、水災、火(huo)災、雷電、有害氣(qi)體和其它環境(jing)事故(gu)（如電磁污(wu)染等(deng)）破壞。

運(yun)行安全，指保(bao)護計算機信(xin)息(xi)系統(tong)的信(xin)息(xi)處理過程順利進行。

信息(xi)安全(quan)，指保障信息(xi)的完整性、保密性、可用性和可控性。

內容安(an)全，指確(que)保計算機信息系統中(zhong)傳輸的信息所承載的內容的合法(fa)性。

安全(quan)(quan)（漏(lou)洞）檢測，指(zhi)利用計算(suan)機(ji)技(ji)術手段掃描、探測計算(suan)機(ji)信息系(xi)統安全(quan)(quan)漏(lou)洞。

第四十條 本辦法(fa)規定的“以上”含本數。

第四十一條 本辦法規定的有關表格和(he)證書由省公安廳制(zhi)定式樣，統一監制(zhi)。

第四十二條 本辦法由省公安廳(ting)負責解(jie)釋。

第四十三條 本辦法自2008年(nian)12月1日起(qi)施行。