廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公安廳2008年(nian)9月27日以(yi)粵公通(tong)字〔2008〕228號發布 自2008年(nian)12月1日起施行）

第一章 總則

第一條 為保(bao)(bao)護計(ji)算機信(xin)息系統(tong)安(an)全(quan)，促(cu)進信(xin)息化(hua)建設的健康(kang)發展，貫(guan)徹落實(shi)《廣東(dong)省計(ji)算機信(xin)息系統(tong)安(an)全(quan)保(bao)(bao)護條例》，根據(ju)有關法律法規(gui)，制定本辦法。

第二條 本辦法(fa)適用于廣東省行政區域(yu)內計算機信息(xi)系(xi)統的安全保(bao)護。

第三條 縣級以上人民(min)政府(fu)公安(an)機(ji)關公共信(xin)息(xi)網絡安(an)全監察部門具體負(fu)責本行政區域內計算機(ji)信(xin)息(xi)系統的安(an)全保護(hu)監管工作。

第二章 安全監督

第四條 公安機關公共信(xin)息網(wang)絡安全(quan)監察部門對(dui)計算(suan)機信(xin)息系統安全(quan)保護工作行(xing)使下列職(zhi)責：

（一）監督(du)、檢查、指導計算機信(xin)息系統安全保護工作(zuo)；

（二）組織(zhi)開展計算機信(xin)息系統安(an)全等級保護；

（三）查(cha)處計算機違法犯罪(zui)案件；

（四）組織處置重大計算機信息系統安(an)全事(shi)故和(he)事(shi)件；

（五(wu)）負責計算(suan)機病毒和其他(ta)有害數據防治管理；

（六）負責計算機信息系統安全(quan)服務的監督(du)指導；

（七(qi)）負(fu)責計算機信息系統安全(quan)專(zhuan)用產品的監督管理；

（八）負(fu)責計算機信息系統安全培訓管理；

（九）法(fa)律、法(fa)規和(he)規章(zhang)規定(ding)的其他職責(ze)。

第五條 公(gong)安(an)(an)機(ji)關公(gong)共信(xin)息(xi)網(wang)絡(luo)安(an)(an)全(quan)監察部門(men)應當(dang)對(dui)計算機(ji)信(xin)息(xi)系統落實(shi)(shi)實(shi)(shi)體安(an)(an)全(quan)、運行安(an)(an)全(quan)、信(xin)息(xi)安(an)(an)全(quan)和(he)內(nei)容安(an)(an)全(quan)措(cuo)施的情況進(jin)行檢查。

對(dui)第(di)三級計(ji)(ji)算機信息(xi)系統(tong)每年(nian)至少檢查一(yi)次，對(dui)第(di)四級計(ji)(ji)算機信息(xi)系統(tong)每半年(nian)至少檢查一(yi)次。對(dui)第(di)五級計(ji)(ji)算機信息(xi)系統(tong)，應當會同(tong)國家指定的專門部門進行(xing)檢查。

對其他計(ji)算(suan)機信息(xi)系統應當不定期開展檢查。

第六條 公(gong)安機關(guan)公(gong)共信息(xi)(xi)網絡安全(quan)(quan)監察部門發現計算機信息(xi)(xi)系統的安全(quan)(quan)保護等(deng)級(ji)和(he)安全(quan)(quan)措施(shi)不(bu)符合有關(guan)規定和(he)技術標準，或(huo)者存在(zai)安全(quan)(quan)隱患的，應當通知(zhi)運營(ying)、使用單位進行整改。

第七條 公安機關公共信(xin)息網絡安全(quan)監察部(bu)門應當向公眾(zhong)提(ti)供報警求助渠道，提(ti)供計(ji)算機信(xin)息系統安全(quan)指導(dao)，發布安全(quan)動態，開展安全(quan)宣傳。

第三章 安全保護責任

第八條 單位(wei)和個人(ren)應當依照(zhao)有關(guan)法規、規章和標準，對其所有、使用和管理的(de)計算(suan)機信息系統(tong)承擔相應的(de)安全保(bao)護(hu)責(ze)任。

第九條 第二級(ji)以(yi)上(shang)計算機信息系統的運營、使用單位應當(dang)建立安全保護組(zu)織，并報所在地地級(ji)以(yi)上(shang)市人民(min)政府公(gong)安機關(guan)公(gong)共信息網絡安全監察部門備案。

第十條 安全(quan)保護組(zu)織(zhi)保障(zhang)本(ben)單(dan)位(wei)計算(suan)機信息(xi)系(xi)統的(de)(de)安全(quan)運行，組(zu)織(zhi)本(ben)單(dan)位(wei)計算(suan)機信息(xi)系(xi)統的(de)(de)有害信息(xi)防治工(gong)作，組(zu)織(zhi)開展本(ben)單(dan)位(wei)計算(suan)機信息(xi)系(xi)統安全(quan)教(jiao)育和培訓(xun)，向公安機關(guan)(guan)公共信息(xi)網絡安全(quan)監(jian)察部(bu)門(men)報告(gao)本(ben)單(dan)位(wei)計算(suan)機信息(xi)系(xi)統運行、服(fu)務(wu)和安全(quan)等情況(kuang)，及時(shi)協助公安機關(guan)(guan)公共信息(xi)網絡安全(quan)監(jian)察部(bu)門(men)查處(chu)違(wei)法犯罪和處(chu)置突發事件。

第十一條 互(hu)聯(lian)(lian)單(dan)位、互(hu)聯(lian)(lian)網接(jie)入服務單(dan)位、互(hu)聯(lian)(lian)網數據中心應當對接(jie)入本網絡的用戶進行(xing)資(zi)格審查，確認符合(he)國(guo)家和省有關(guan)規定后方可為其提供服務。

互(hu)聯(lian)網接入(ru)服務、信息服務單(dan)位以及互(hu)聯(lian)網數據中心應當向用戶(hu)宣傳相(xiang)關(guan)法(fa)律法(fa)規，提供必要(yao)的安全保護措施。

第十二條 個人主頁、博客、聊天室(shi)、點對點服務等互聯網(wang)信(xin)息(xi)服務的(de)提(ti)供單位和(he)使用者(zhe)應(ying)當依照國家和(he)省有關規(gui)定，落實相應(ying)的(de)安(an)全措(cuo)施。

第十三條 網吧、圖(tu)書館(guan)、學校(xiao)、賓(bin)館(guan)等提供(gong)互聯(lian)網上(shang)網服(fu)務的場所應當安裝符合國(guo)家(jia)規定的安全管理系統。

第十四條 互(hu)聯(lian)(lian)單位(wei)、互(hu)聯(lian)(lian)網(wang)(wang)接入服務單位(wei)以(yi)及互(hu)聯(lian)(lian)網(wang)(wang)數據中心(xin)應(ying)當(dang)每月將(jiang)接入本網(wang)(wang)絡(luo)的用戶情況報(bao)地級以(yi)上(shang)市公安機關公共信息網(wang)(wang)絡(luo)安全監察部門備案(an)。

第十五條 計算機(ji)(ji)信(xin)息(xi)(xi)系統運營、使用單位(wei)應當接(jie)受(shou)公(gong)安(an)(an)機(ji)(ji)關公(gong)共信(xin)息(xi)(xi)網(wang)絡(luo)安(an)(an)全(quan)監察部門的監督、檢查(cha)、指(zhi)導(dao)，如實提供(gong)安(an)(an)全(quan)保(bao)護有關信(xin)息(xi)(xi)、資料及數據文件，不(bu)得變(bian)相拒絕、拖延、阻礙公(gong)安(an)(an)機(ji)(ji)關公(gong)共信(xin)息(xi)(xi)網(wang)絡(luo)安(an)(an)全(quan)監察部門依法(fa)執行公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專(zhuan)用產品必須取得公(gong)安部頒發(fa)的銷(xiao)售許(xu)可(ke)證方可(ke)銷(xiao)售。

第十七條 生產(chan)、銷售(shou)或者提(ti)(ti)供含有計算機(ji)(ji)信(xin)息(xi)(xi)(xi)網絡遠程控制(zhi)、密碼(ma)猜解、安全(quan)（漏洞）檢(jian)測、信(xin)息(xi)(xi)(xi)群發技術的產(chan)品和(he)工具的，應當在領(ling)取(qu)營(ying)(ying)業執照(zhao)后(hou)30日內（沒有營(ying)(ying)業執照(zhao)的，自開辦之日起30日內）向單位所在地地級以(yi)上市人民政府公(gong)(gong)安機(ji)(ji)關公(gong)(gong)共信(xin)息(xi)(xi)(xi)網絡安全(quan)監察部門備案，填寫《廣東省計算機(ji)(ji)信(xin)息(xi)(xi)(xi)網絡安全(quan)特種技術備案表(biao)》，并提(ti)(ti)交如下(xia)資(zi)料：

（一）單位簡況；

（二）營業執(zhi)照(zhao)（或其他(ta)有效證明）復印件；

（三）研發和服(fu)務管(guan)理制(zhi)度(du)；

（四）主要經營(ying)管理(li)人員、技術(shu)人員和服(fu)務(wu)人員有效證件(jian)復印件(jian)；

（五(wu)）主(zhu)要產(chan)品(pin)情況。

第十八條 安全保護(hu)等級(ji)為第三級(ji)以上的(de)計(ji)算機信息系統應當選用(yong)符合(he)下列條件的(de)安全專用(yong)產品：

（一）產品(pin)研制(zhi)、生產單位(wei)是由中(zhong)國公民(min)、法人投(tou)資(zi)或(huo)者(zhe)國家投(tou)資(zi)或(huo)者(zhe)控股的，在中(zhong)華人民(min)共和國境內具有獨立的法人資(zi)格；

（二）產品(pin)的核心技術、關鍵部件具有我(wo)國自主知識(shi)產權；

（三）產品研制(zhi)、生產單位(wei)及其主要(yao)業務、技術人(ren)員無犯罪記(ji)錄；

（四(si)）產品研(yan)制(zhi)、生產單(dan)位聲(sheng)明沒有故意留有或(huo)者設置(zhi)漏(lou)洞、后門(men)、木(mu)馬(ma)等程序和(he)功能；

（五(wu)）對國家(jia)安全(quan)、社會(hui)秩序、公共利(li)益不(bu)構成危害。

第十九條 符合第十八(ba)條規定(ding)的安全專用產品(pin)和生產單位應當到省公(gong)安廳公(gong)共(gong)信(xin)息(xi)網絡安全監(jian)察部門(men)備案。

第二十條 為(wei)加強(qiang)安(an)(an)全(quan)服務(wu)機(ji)構的(de)指導(dao)(dao)，推動安(an)(an)全(quan)服務(wu)質(zhi)量和技術水平的(de)提(ti)高，廣(guang)東省(sheng)對(dui)從事計算機(ji)信(xin)息(xi)系統安(an)(an)全(quan)設(she)計、建設(she)、檢測、評(ping)估(gu)等安(an)(an)全(quan)服務(wu)的(de)機(ji)構，根(gen)據其(qi)注(zhu)冊(ce)資本(ben)、服務(wu)業績、技術力量、組(zu)織(zhi)管理(li)情(qing)況實(shi)行分級指導(dao)(dao)。

第五章 安全等級測評

第二十一條 第(di)二級(ji)以上的(de)(de)計算(suan)機(ji)(ji)(ji)信息系(xi)統的(de)(de)安全測(ce)評應當選擇符(fu)合下列(lie)條件的(de)(de)計算(suan)機(ji)(ji)(ji)信息系(xi)統安全等級(ji)測(ce)評機(ji)(ji)(ji)構(gou)（簡(jian)稱測(ce)評機(ji)(ji)(ji)構(gou)）承擔：

（一(yi)）在中華人民共和國境內注(zhu)冊成立（港澳臺地區除外），具有相應經營范圍的營業(ye)執照(zhao)，注(zhu)冊資本(ben)100萬元以(yi)上；

（二(er)）由中國公民(min)投(tou)資(zi)、中國法人投(tou)資(zi)或者國家投(tou)資(zi)的(de)企事(shi)業(ye)單位（港(gang)澳(ao)臺地區除外）；

（三）近3年完成的測評項目總值150萬元以上；

（四(si)）具有計算機安全或相關專業資(zi)格證(zheng)書的(de)專業技術人員不(bu)少(shao)于(yu)(yu)20人，其中大學本科以上學歷的(de)人員不(bu)少(shao)于(yu)(yu)15人；

（五）管理人(ren)員應當(dang)具有3年(nian)以上從事計(ji)算機信息(xi)系(xi)統(tong)安全技(ji)(ji)術(shu)領域企業管理工作經歷，技(ji)(ji)術(shu)負(fu)責人(ren)已獲得計(ji)算機信息(xi)系(xi)統(tong)安全技(ji)(ji)術(shu)相(xiang)關專(zhuan)業的高級職稱，從事安全測評工作不少于3年(nian)，無犯罪(zui)記錄；

（六(liu)）工作人(ren)(ren)員僅限于中國(guo)公(gong)民，法人(ren)(ren)及主要業務、技術(shu)人(ren)(ren)員無犯(fan)罪(zui)記錄(lu)；

（七）具有與(yu)所承擔項(xiang)目(mu)適應的技(ji)術裝備；

（八）具(ju)有完備的(de)保密管理(li)(li)、項目管理(li)(li)、質量管理(li)(li)、人員管理(li)(li)和培訓教育等安全管理(li)(li)制度(du)；

（九）對國家安全、社會秩序、公共利益(yi)不構成威脅。

第二十二條 廣東省對測(ce)評(ping)(ping)機(ji)(ji)構實施(shi)備案(an)制度(du)。符合第二十一條(tiao)規定的(de)條(tiao)件，承擔第二級以上(shang)的(de)計算機(ji)(ji)信息系統測(ce)評(ping)(ping)工(gong)作的(de)機(ji)(ji)構應當到省公安廳公共信息網絡安全監察部門備案(an)。

第二十三條 省(sheng)公(gong)安廳公(gong)共(gong)信息網絡安全監察部門對已備(bei)案的(de)測評機構進行(xing)公(gong)布。

第二十四條 測評機構應當履行下列(lie)義務(wu)：

（一）遵守國家有(you)關法律法規(gui)和技術標準，提(ti)供(gong)安(an)全(quan)、客觀、公正的(de)檢測評(ping)估服(fu)務，保證測評(ping)的(de)質量和效果；

（二）保守在測(ce)評活動中知悉的國家秘(mi)密、商業秘(mi)密和個人隱(yin)私，防范測(ce)評風(feng)險；

（三(san)）對測評人員(yuan)進行安全(quan)保(bao)密(mi)教育，與其簽(qian)訂(ding)安全(quan)保(bao)密(mi)責(ze)任書，規定(ding)應當履(lv)行的安全(quan)保(bao)密(mi)義務(wu)和承擔(dan)的法律(lv)責(ze)任，并負責(ze)檢(jian)查落實。

第二十五條 第(di)二級以上(shang)的(de)計算(suan)機(ji)(ji)信息系統建設完(wan)成(cheng)后(hou)，使用單位應(ying)當委(wei)托符合規定的(de)測(ce)評(ping)機(ji)(ji)構安全(quan)(quan)測(ce)評(ping)合格方可(ke)投(tou)入使用。測(ce)評(ping)活動應(ying)當接受公安機(ji)(ji)關(guan)公共(gong)信息網絡安全(quan)(quan)監(jian)察部(bu)門的(de)監(jian)督。

第二十六條 計算(suan)機信息系統運營、使(shi)用單位委(wei)托安全(quan)測(ce)評機構測(ce)評，應當(dang)提交下列資(zi)料：

（一）安(an)全測(ce)評委托書；

（二）計算機(ji)信息系(xi)統(tong)應用需求、系(xi)統(tong)結(jie)構拓撲及說(shuo)明、系(xi)統(tong)安(an)全(quan)組織結(jie)構和(he)管(guan)理制度、安(an)全(quan)保(bao)護設施設計實施方案(an)或者改(gai)建實施方案(an)、系(xi)統(tong)軟(ruan)件硬件和(he)信息安(an)全(quan)產品清單。

第二十七條 安(an)全(quan)測(ce)(ce)(ce)評機構在收到委(wei)托(tuo)材料后(hou)，應當與委(wei)托(tuo)方協商制訂安(an)全(quan)測(ce)(ce)(ce)評計劃，開展安(an)全(quan)測(ce)(ce)(ce)評工作(zuo)，并出具安(an)全(quan)測(ce)(ce)(ce)評報(bao)告。

經測(ce)評，計算(suan)機信(xin)息系(xi)統(tong)安全狀況未達(da)到國(guo)家有關規定和標(biao)準的(de)要求(qiu)，委托單(dan)位應當根據(ju)測(ce)評報(bao)告的(de)建(jian)議，完善計算(suan)機信(xin)息系(xi)統(tong)安全建(jian)設，并(bing)重(zhong)新提(ti)出安全測(ce)評委托。

測(ce)評機(ji)構對計算(suan)機(ji)信息(xi)(xi)系統(tong)進行使(shi)用前(qian)安全(quan)(quan)(quan)測(ce)評，應(ying)當預先報告地級以(yi)上市(shi)公(gong)安機(ji)關公(gong)共(gong)信息(xi)(xi)網絡安全(quan)(quan)(quan)監察部(bu)門(men)。安全(quan)(quan)(quan)測(ce)評報告由計算(suan)機(ji)信息(xi)(xi)系統(tong)運營、使(shi)用單位報地級以(yi)上市(shi)公(gong)安機(ji)關公(gong)共(gong)信息(xi)(xi)網絡安全(quan)(quan)(quan)監察部(bu)門(men)。

第二十八條 第(di)三級計算機信息系統(tong)應當每年至少進(jin)行一(yi)次安(an)全測(ce)評(ping)，第(di)四級計算機信息系統(tong)應當每半年至少進(jin)行一(yi)次安(an)全測(ce)評(ping)，第(di)五級計算機信息系統(tong)應當依據特殊(shu)安(an)全要(yao)求進(jin)行安(an)全測(ce)評(ping)。

第六章 應急處置

第二十九條 公(gong)安機(ji)(ji)關公(gong)共信(xin)息(xi)(xi)網絡安全監察部門與所在(zai)地安全服(fu)務機(ji)(ji)構、互聯網運營單位和(he)其(qi)他計(ji)算機(ji)(ji)信(xin)息(xi)(xi)系(xi)統運營、使(shi)用單位應當(dang)建(jian)立聯防機(ji)(ji)制，依法及時(shi)查處通過計(ji)算機(ji)(ji)信(xin)息(xi)(xi)系(xi)統進行(xing)的違(wei)法犯罪行(xing)為(wei)，組(zu)織處置重(zhong)大(da)突發(fa)事件。

第三十條 對(dui)計(ji)算機信息(xi)系統中發生的案(an)件和重大安(an)全事故，計(ji)算機信息(xi)系統的運營、使用單位應當(dang)在(zai)二十四小時內報告縣級以上人民政府公(gong)安(an)機關公(gong)共信息(xi)網(wang)絡安(an)全監(jian)察部(bu)門(men)，并保留(liu)有關原始(shi)記錄。

第三十一條 第二級以上的計算機信息(xi)系統運營(ying)、使用單位應當制定重大突發事件(jian)應急處(chu)置預案并定期實施演練。

第三十二條 計算(suan)機(ji)信(xin)息(xi)系統發生重大突發事件(jian)，有關(guan)單位應(ying)(ying)當按(an)照應(ying)(ying)急處置(zhi)預案(an)的要(yao)求采取相應(ying)(ying)的處置(zhi)措施，并服從(cong)公安機(ji)關(guan)和國家(jia)指定(ding)的專門部門的調度。

第三十三條 地級市以上人民政府公(gong)安(an)機關公(gong)共信息網絡安(an)全(quan)(quan)(quan)監察部門經本機關主管領(ling)導批準，為保(bao)護計算(suan)機信息系統(tong)安(an)全(quan)(quan)(quan)，在發生重大突發事件，危及國家安(an)全(quan)(quan)(quan)、公(gong)共安(an)全(quan)(quan)(quan)及社會穩定的緊急情況下，可以采取(qu)二十(shi)四(si)小時(shi)內暫時(shi)停機、暫停聯網、備份數(shu)據等(deng)措施。

第七章 安全培訓

第三十四條 省公(gong)安廳(ting)、人事廳(ting)聯合成立的省信(xin)息(xi)網絡安全專業技(ji)術(shu)(shu)人員繼(ji)續教育工(gong)作(zuo)(zuo)領導小組，負(fu)(fu)責(ze)全省信(xin)息(xi)網絡安全專業技(ji)術(shu)(shu)人員繼(ji)續教育工(gong)作(zuo)(zuo)的組織和(he)領導。下(xia)設(she)省信(xin)息(xi)網絡安全專業技(ji)術(shu)(shu)人員繼(ji)續教育工(gong)作(zuo)(zuo)辦(ban)公(gong)室，具體(ti)負(fu)(fu)責(ze)日常(chang)管(guan)理工(gong)作(zuo)(zuo)。

第三十五條 下列人員應當參加信(xin)息(xi)(xi)網絡安(an)全專業技(ji)術(shu)人員繼續(xu)教育(yu)，取得(de)省信(xin)息(xi)(xi)網絡安(an)全專業技(ji)術(shu)人員繼續(xu)教育(yu)工作(zuo)辦公室頒(ban)發(fa)的信(xin)息(xi)(xi)網絡安(an)全專業技(ji)術(shu)人員繼續(xu)教育(yu)合格證(zheng)(zheng)書，持證(zheng)(zheng)上崗：

（一）計算機信息(xi)系統運營、使用單位信息(xi)安全管理責任人、信息(xi)審查員(yuan)；

（二(er)）互聯(lian)網(wang)接入服(fu)務、數據中心(xin)服(fu)務、信息服(fu)務、上網(wang)服(fu)務提供單位安全管(guan)理員、專業技術人員；

（三）安全(quan)專用(yong)產品(pin)生產單位專業(ye)技術人員；

（四）安(an)全(quan)(quan)服(fu)務(wu)機(ji)構專業技術(shu)人員(yuan)、安(an)全(quan)(quan)服(fu)務(wu)管理人員(yuan)；

（五）其他從事(shi)計(ji)算(suan)機信息系統安(an)全保護工作(zuo)的(de)人員。

第三十六條 信息網絡安全專(zhuan)業(ye)技(ji)術人員繼續教育由省信息網絡安全專(zhuan)業(ye)技(ji)術人員繼續教育工作辦公室授權的施教機構負責實(shi)施。施教機構實(shi)行統(tong)籌規劃(hua)。

第三十七條 信息網(wang)絡安全(quan)專業技(ji)術(shu)人員繼續教(jiao)育培訓和考試按照有關(guan)規(gui)定進行，實行統(tong)一教(jiao)學大綱，統(tong)一教(jiao)材，統(tong)一考試，統(tong)一發證(zheng)。

考(kao)試合格的，由(you)省信(xin)息網絡(luo)(luo)安全專業(ye)技(ji)術人(ren)員(yuan)繼(ji)續教(jiao)育工(gong)作辦公(gong)室發給信(xin)息網絡(luo)(luo)安全專業(ye)技(ji)術人(ren)員(yuan)繼(ji)續教(jiao)育證(zheng)書。

第八章 法律責任

第三十八條 違反本辦(ban)法(fa)的規(gui)定(ding)，依照有關(guan)法(fa)律、法(fa)規(gui)和規(gui)章處罰。

第九章 附則

第三十九條 本細則下列用語的含義：實體安全，指保護(hu)計算機信息系統的環境，計算機設備、設施（含網絡）以及其它媒體免遭地震、水災、火災、雷電、有害氣體和(he)其它環境事故（如電磁(ci)污染等）破壞。

運(yun)行安全，指保護計算機(ji)信息系(xi)統的信息處理過程順利進行。

信息安全，指保障信息的完整(zheng)性、保密性、可(ke)用性和可(ke)控性。

內(nei)容(rong)(rong)安全，指(zhi)確保計算機(ji)信(xin)息系統中傳輸的(de)(de)信(xin)息所(suo)承載的(de)(de)內(nei)容(rong)(rong)的(de)(de)合法(fa)性(xing)。

安全（漏(lou)洞）檢測(ce)，指(zhi)利用計(ji)算機(ji)技術(shu)手段掃描、探測(ce)計(ji)算機(ji)信息系統安全漏(lou)洞。

第四十條 本(ben)辦法規定的(de)“以上”含本(ben)數。

第四十一條 本辦(ban)法(fa)規(gui)定的有關表格(ge)和(he)證(zheng)書由省公(gong)安廳制(zhi)定式樣，統一監制(zhi)。

第四十二條 本辦法由省(sheng)公安廳負責(ze)解釋。

第四十三條 本辦法自2008年12月1日起施行。