廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣東省公(gong)安廳2008年9月27日(ri)以粵公(gong)通(tong)字(zi)〔2008〕228號(hao)發布(bu) 自2008年12月1日(ri)起(qi)施行）

第一章 總則

第一條 為(wei)保護計(ji)算機信(xin)息系統安(an)全，促進信(xin)息化建設的健康發展，貫(guan)徹落實《廣東省(sheng)計(ji)算機信(xin)息系統安(an)全保護條例》，根(gen)據有關法(fa)(fa)(fa)律法(fa)(fa)(fa)規(gui)，制(zhi)定(ding)本(ben)辦(ban)法(fa)(fa)(fa)。

第二條 本辦(ban)法適用于(yu)廣東省行(xing)政區域內計算機信息系統(tong)的安全(quan)保護。

第三條 縣級以(yi)上人民政府公(gong)安機(ji)關公(gong)共信息網絡安全(quan)監察部門(men)具體負責本(ben)行政區域內計算(suan)機(ji)信息系統(tong)的安全(quan)保護監管工(gong)作。

第二章 安全監督

第四條 公安(an)機關公共信息網絡安(an)全監察部(bu)門(men)對計算機信息系統安(an)全保護工(gong)作行(xing)使下列職責：

（一）監督(du)、檢查、指導計(ji)算機(ji)信息系統安全保護工作；

（二）組織開(kai)展計算機信(xin)息系統安(an)全等級保護；

（三）查(cha)處計算(suan)機違法犯罪案件；

（四）組織處置重(zhong)大計算機信息系(xi)統安全事(shi)故和(he)事(shi)件；

（五）負責計算(suan)機病毒(du)和其(qi)他有害數據防治管理；

（六）負責計(ji)算機信息系統安全服務的(de)監(jian)督(du)指(zhi)導；

（七）負責計算(suan)機信息系統安(an)全專用產品的監督管理；

（八）負責(ze)計算機信息系統安全培訓管理；

（九）法律、法規和規章規定的其他職責。

第五條 公安(an)機(ji)關公共信息網(wang)絡安(an)全(quan)監察部門應當對計(ji)算機(ji)信息系統(tong)落實(shi)實(shi)體(ti)安(an)全(quan)、運(yun)行(xing)安(an)全(quan)、信息安(an)全(quan)和內容安(an)全(quan)措施(shi)的情況進(jin)行(xing)檢(jian)查(cha)。

對第三級(ji)(ji)計算機信(xin)息(xi)系(xi)統(tong)每年至(zhi)(zhi)少檢查(cha)(cha)一次，對第四級(ji)(ji)計算機信(xin)息(xi)系(xi)統(tong)每半年至(zhi)(zhi)少檢查(cha)(cha)一次。對第五級(ji)(ji)計算機信(xin)息(xi)系(xi)統(tong)，應當會(hui)同國家(jia)指定的專門(men)部門(men)進行(xing)檢查(cha)(cha)。

對其他計算機信息(xi)系統應當不定(ding)期開(kai)展檢(jian)查。

第六條 公(gong)安機(ji)關(guan)公(gong)共(gong)信息網絡安全(quan)監察部門(men)發(fa)現(xian)計算機(ji)信息系統的安全(quan)保(bao)護等級和安全(quan)措施(shi)不符合有關(guan)規定和技術標準，或(huo)者存(cun)在安全(quan)隱患的，應當通知(zhi)運營(ying)、使(shi)用單位進行整改。

第七條 公(gong)安(an)機關公(gong)共信息網絡安(an)全(quan)(quan)監察部門應當向(xiang)公(gong)眾提(ti)供報警求助渠(qu)道，提(ti)供計(ji)算(suan)機信息系統安(an)全(quan)(quan)指(zhi)導，發布安(an)全(quan)(quan)動態，開展安(an)全(quan)(quan)宣傳。

第三章 安全保護責任

第八條 單位和(he)個(ge)人(ren)應(ying)當(dang)依照有(you)關法規(gui)、規(gui)章和(he)標(biao)準，對其所有(you)、使用(yong)和(he)管理的(de)計(ji)算機信息系統承擔相應(ying)的(de)安(an)全保(bao)護責任。

第九條 第二級以上計(ji)算(suan)機信息系(xi)統的(de)運營(ying)、使(shi)用單位應當建立安(an)全保護組織，并報所在地(di)地(di)級以上市人民政府公安(an)機關公共信息網絡安(an)全監察(cha)部門(men)備(bei)案。

第十條 安全(quan)(quan)保護(hu)組織(zhi)(zhi)保障本(ben)(ben)單(dan)位(wei)(wei)(wei)計算(suan)機(ji)(ji)(ji)信(xin)(xin)息系(xi)統的(de)安全(quan)(quan)運行，組織(zhi)(zhi)本(ben)(ben)單(dan)位(wei)(wei)(wei)計算(suan)機(ji)(ji)(ji)信(xin)(xin)息系(xi)統的(de)有(you)害信(xin)(xin)息防治工作，組織(zhi)(zhi)開展(zhan)本(ben)(ben)單(dan)位(wei)(wei)(wei)計算(suan)機(ji)(ji)(ji)信(xin)(xin)息系(xi)統安全(quan)(quan)教育(yu)和(he)培訓(xun)，向公(gong)(gong)安機(ji)(ji)(ji)關公(gong)(gong)共信(xin)(xin)息網(wang)絡安全(quan)(quan)監察(cha)部(bu)門(men)報告本(ben)(ben)單(dan)位(wei)(wei)(wei)計算(suan)機(ji)(ji)(ji)信(xin)(xin)息系(xi)統運行、服(fu)務(wu)和(he)安全(quan)(quan)等情況，及(ji)時協助公(gong)(gong)安機(ji)(ji)(ji)關公(gong)(gong)共信(xin)(xin)息網(wang)絡安全(quan)(quan)監察(cha)部(bu)門(men)查處違法犯(fan)罪和(he)處置突發(fa)事(shi)件。

第十一條 互聯單(dan)位(wei)、互聯網接入服務單(dan)位(wei)、互聯網數據中心(xin)應當對接入本網絡(luo)的用(yong)戶進行(xing)資格審查(cha)，確認符合國家和省有關(guan)規定后(hou)方可為其提供(gong)服務。

互聯(lian)網(wang)接(jie)入服務(wu)(wu)、信息服務(wu)(wu)單位以及互聯(lian)網(wang)數(shu)據中(zhong)心應當向用(yong)戶(hu)宣傳相(xiang)關法律法規(gui)，提供必要的安全保護措施。

第十二條 個人(ren)主頁(ye)、博客、聊天(tian)室、點對點服務等(deng)互聯(lian)網信(xin)息服務的提(ti)供(gong)單位和使用者應當依照國(guo)家和省有關規定，落實相(xiang)應的安全措施。

第十三條 網吧、圖書館(guan)(guan)、學(xue)校、賓(bin)館(guan)(guan)等提供(gong)互聯(lian)網上網服務的場所(suo)應當安裝符合(he)國家(jia)規定的安全管理(li)系統(tong)。

第十四條 互聯單位、互聯網(wang)接(jie)入(ru)服(fu)務單位以及互聯網(wang)數據中心應當每月將接(jie)入(ru)本網(wang)絡(luo)的用戶(hu)情況(kuang)報地級以上市公(gong)安機關(guan)公(gong)共(gong)信息網(wang)絡(luo)安全監察部門備案。

第十五條 計算機(ji)(ji)信(xin)息(xi)(xi)(xi)(xi)系(xi)統運營、使用單位應(ying)當(dang)接受公安機(ji)(ji)關(guan)公共信(xin)息(xi)(xi)(xi)(xi)網(wang)絡(luo)安全(quan)監察(cha)(cha)部門(men)的監督、檢查、指導，如實提供安全(quan)保護有關(guan)信(xin)息(xi)(xi)(xi)(xi)、資料(liao)及(ji)數據文(wen)件，不得(de)變(bian)相拒絕、拖延、阻礙公安機(ji)(ji)關(guan)公共信(xin)息(xi)(xi)(xi)(xi)網(wang)絡(luo)安全(quan)監察(cha)(cha)部門(men)依(yi)法執行公務。

第四章 安全專用產品和安全服務

第十六條 安全專(zhuan)用產品必須取得公安部頒發(fa)的銷售許(xu)可證方(fang)可銷售。

第十七條 生產、銷(xiao)售或者提供含有計算機(ji)信(xin)息(xi)網(wang)絡(luo)遠程控制、密碼(ma)猜解(jie)、安(an)(an)全（漏洞）檢測、信(xin)息(xi)群發技術的產品和工具(ju)的，應當在領取(qu)營(ying)業執照(zhao)后30日內（沒有營(ying)業執照(zhao)的，自開辦之日起30日內）向單位所在地地級(ji)以(yi)上市人民政府公(gong)安(an)(an)機(ji)關(guan)公(gong)共信(xin)息(xi)網(wang)絡(luo)安(an)(an)全監(jian)察部門備案，填寫(xie)《廣(guang)東(dong)省計算機(ji)信(xin)息(xi)網(wang)絡(luo)安(an)(an)全特種(zhong)技術備案表》，并提交(jiao)如(ru)下資(zi)料：

（一）單位簡況；

（二(er)）營業執照（或其他有效證明）復(fu)印件；

（三）研發和服(fu)務管(guan)理制(zhi)度；

（四(si)）主要經營(ying)管(guan)理(li)人員、技術人員和服務(wu)人員有效(xiao)證件復印件；

（五）主要產(chan)品情(qing)況。

第十八條 安全(quan)保護(hu)等級為第(di)三(san)級以上的計算機信(xin)息系統應當選用符合下列條件(jian)的安全(quan)專(zhuan)用產品：

（一）產品研制、生產單位是(shi)由中(zhong)國公民(min)、法人投資或者(zhe)國家投資或者(zhe)控(kong)股的(de)，在中(zhong)華(hua)人民(min)共和國境內具有獨立的(de)法人資格(ge)；

（二）產品的(de)核心技術、關鍵部(bu)件具有我國自主知識產權；

（三）產(chan)品研制、生產(chan)單位及其主(zhu)要業務(wu)、技術人員無犯(fan)罪記錄(lu)；

（四）產(chan)品研制、生產(chan)單位聲(sheng)明沒有故意留有或者設置漏洞、后(hou)門、木馬(ma)等程序和功能(neng)；

（五）對(dui)國家安全、社會(hui)秩序、公共利(li)益不構成危(wei)害。

第十九條 符合第十八條規定的(de)安全(quan)(quan)專用產(chan)(chan)品和生產(chan)(chan)單位應(ying)當到省公(gong)安廳公(gong)共信(xin)息網絡安全(quan)(quan)監(jian)察部門(men)備(bei)案。

第二十條 為加(jia)強安(an)全服(fu)務機構的(de)指導(dao)，推動安(an)全服(fu)務質(zhi)量和技(ji)術水平的(de)提高(gao)，廣東省對從事計(ji)算機信息系統安(an)全設計(ji)、建設、檢測(ce)、評估等安(an)全服(fu)務的(de)機構，根據(ju)其注冊資本、服(fu)務業(ye)績、技(ji)術力量、組織管理(li)情況實行分級指導(dao)。

第五章 安全等級測評

第二十一條 第二級以(yi)上的(de)計算機(ji)信息系統的(de)安全測評應當選擇符合下列(lie)條件的(de)計算機(ji)信息系統安全等級測評機(ji)構（簡稱測評機(ji)構）承擔：

（一）在中(zhong)華人民共和(he)國境內注冊成立（港澳臺地(di)區除(chu)外(wai)），具有相應經營(ying)范圍的營(ying)業(ye)執照，注冊資(zi)本100萬元以上；

（二）由中(zhong)國公民投(tou)資、中(zhong)國法人投(tou)資或者國家投(tou)資的企事業單(dan)位（港澳臺地區除外）；

（三）近3年(nian)完成的測評(ping)項目總值150萬(wan)元以上；

（四）具有(you)計算機安全或相關專(zhuan)業資格證書的專(zhuan)業技術人(ren)員不少(shao)于(yu)20人(ren)，其中大學本(ben)科以上學歷的人(ren)員不少(shao)于(yu)15人(ren)；

（五）管理人員(yuan)應當具有3年以上(shang)從事計算機信息系統(tong)安全(quan)(quan)技術領域企(qi)業管理工(gong)作經歷(li)，技術負責人已獲得計算機信息系統(tong)安全(quan)(quan)技術相關專(zhuan)業的高級職稱(cheng)，從事安全(quan)(quan)測評工(gong)作不(bu)少于(yu)3年，無犯罪記錄；

（六）工作(zuo)人(ren)員僅限(xian)于中國公民(min)，法人(ren)及(ji)主要(yao)業(ye)務(wu)、技術人(ren)員無犯罪記(ji)錄；

（七）具有(you)與所承擔項目適應的技(ji)術裝備；

（八）具有完備的保密(mi)管(guan)理、項目(mu)管(guan)理、質量管(guan)理、人員管(guan)理和(he)培訓教育等安全管(guan)理制度；

（九）對國(guo)家安全(quan)、社會(hui)秩序、公(gong)共利(li)益(yi)不構成(cheng)威脅(xie)。

第二十二條 廣東省對(dui)測評機構(gou)實施備(bei)案制度。符合第(di)二十一條規定的條件，承擔第(di)二級以上的計算機信息系統測評工作的機構(gou)應當到省公安廳公共信息網(wang)絡安全監察部門備(bei)案。

第二十三條 省公安廳公共信(xin)息網絡(luo)安全監察部門(men)對已備案的(de)測評機構進(jin)行公布。

第二十四條 測(ce)評機構應當履行下列義務：

（一(yi)）遵守國家有關法(fa)律法(fa)規和(he)技(ji)術標準，提(ti)供(gong)安全、客觀、公正(zheng)的(de)檢測評(ping)估服(fu)務，保證測評(ping)的(de)質(zhi)量和(he)效果；

（二）保守在測(ce)評活動中知悉(xi)的國(guo)家秘密(mi)、商業秘密(mi)和個(ge)人隱私，防范測(ce)評風險；

（三）對測評人員進行安全保(bao)密教(jiao)育(yu)，與其簽訂(ding)安全保(bao)密責(ze)(ze)任(ren)書，規(gui)定(ding)應當(dang)履行的(de)安全保(bao)密義務和(he)承(cheng)擔的(de)法(fa)律責(ze)(ze)任(ren)，并負責(ze)(ze)檢查落實。

第二十五條 第二級以上的計算機(ji)信(xin)息系統建設完成(cheng)后，使用單位應當委托符合規定的測評機(ji)構安(an)全(quan)測評合格方可(ke)投入(ru)使用。測評活動應當接受(shou)公安(an)機(ji)關公共信(xin)息網(wang)絡(luo)安(an)全(quan)監察部門的監督。

第二十六條 計(ji)算機信息系統運營、使用單(dan)位委托安全測(ce)評機構測(ce)評，應當提交下(xia)列資料：

（一）安(an)全(quan)測評委托書；

（二）計(ji)算機(ji)信息系(xi)統(tong)應用需求、系(xi)統(tong)結(jie)構拓撲及說(shuo)明、系(xi)統(tong)安(an)全組織結(jie)構和(he)管(guan)理制度、安(an)全保(bao)護設施設計(ji)實施方案或者改建實施方案、系(xi)統(tong)軟件(jian)硬(ying)件(jian)和(he)信息安(an)全產品清單(dan)。

第二十七條 安全(quan)測(ce)評機構在收到委托材料后，應當與委托方協商(shang)制訂安全(quan)測(ce)評計劃，開展安全(quan)測(ce)評工作(zuo)，并出(chu)具安全(quan)測(ce)評報告。

經測(ce)評，計算(suan)機信(xin)息系統安(an)(an)全狀況未達到國家有關規定(ding)和標準(zhun)的要求，委(wei)托單(dan)位應當根據測(ce)評報告的建議，完善計算(suan)機信(xin)息系統安(an)(an)全建設，并重新提出安(an)(an)全測(ce)評委(wei)托。

測評(ping)機(ji)構對(dui)計算(suan)(suan)機(ji)信(xin)息系統(tong)進(jin)行使用前安(an)全(quan)測評(ping)，應(ying)當預先報告(gao)地級(ji)(ji)以(yi)(yi)上市(shi)公安(an)機(ji)關(guan)公共信(xin)息網絡安(an)全(quan)監察部門。安(an)全(quan)測評(ping)報告(gao)由計算(suan)(suan)機(ji)信(xin)息系統(tong)運營、使用單位報地級(ji)(ji)以(yi)(yi)上市(shi)公安(an)機(ji)關(guan)公共信(xin)息網絡安(an)全(quan)監察部門。

第二十八條 第三級(ji)計(ji)算機信息系統應當每年至(zhi)少進行(xing)一(yi)次(ci)安(an)全測(ce)(ce)評，第四級(ji)計(ji)算機信息系統應當每半(ban)年至(zhi)少進行(xing)一(yi)次(ci)安(an)全測(ce)(ce)評，第五級(ji)計(ji)算機信息系統應當依據特殊安(an)全要(yao)求進行(xing)安(an)全測(ce)(ce)評。

第六章 應急處置

第二十九條 公(gong)安機關公(gong)共信(xin)息(xi)網(wang)絡安全(quan)監(jian)察部門與(yu)所在(zai)地(di)安全(quan)服(fu)務機構、互聯網(wang)運營(ying)單位和其(qi)他計(ji)(ji)算(suan)機信(xin)息(xi)系統(tong)運營(ying)、使用單位應當建立聯防機制，依法及時查處(chu)(chu)通過計(ji)(ji)算(suan)機信(xin)息(xi)系統(tong)進(jin)行的違法犯(fan)罪行為，組(zu)織處(chu)(chu)置重大突發(fa)事件(jian)。

第三十條 對計算機信息(xi)系(xi)統中發生的(de)案(an)件和重大安全事故，計算機信息(xi)系(xi)統的(de)運營(ying)、使(shi)用單位應當在二十四小時內報告縣級以上人(ren)民政府公(gong)安機關公(gong)共信息(xi)網(wang)絡安全監察(cha)部門，并保留(liu)有(you)關原始(shi)記(ji)錄(lu)。

第三十一條 第(di)二(er)級以上的計(ji)算機(ji)信息系統運營、使用單位應當制定重大突(tu)發事件應急處置預案并定期實施演練。

第三十二條 計算機信息系(xi)統發生重(zhong)大突發事(shi)件，有關(guan)單位應(ying)當按照應(ying)急處置預案的(de)要(yao)求采(cai)取(qu)相(xiang)應(ying)的(de)處置措(cuo)施，并服從公安機關(guan)和國家指定的(de)專門(men)部門(men)的(de)調(diao)度。

第三十三條 地級市以上人民政(zheng)府公(gong)安(an)機(ji)關公(gong)共信(xin)息(xi)網絡安(an)全(quan)(quan)監察部門經本機(ji)關主管領導批準，為保護計(ji)算(suan)機(ji)信(xin)息(xi)系(xi)統安(an)全(quan)(quan)，在發生重大突發事件，危及國(guo)家安(an)全(quan)(quan)、公(gong)共安(an)全(quan)(quan)及社會穩定(ding)的緊(jin)急情況下，可以采取二十四小(xiao)時(shi)內暫(zan)時(shi)停機(ji)、暫(zan)停聯網、備份(fen)數據等措施。

第七章 安全培訓

第三十四條 省(sheng)(sheng)公安廳、人(ren)事廳聯合成立(li)的省(sheng)(sheng)信(xin)(xin)息(xi)網(wang)(wang)絡安全(quan)(quan)(quan)專(zhuan)業技術(shu)(shu)人(ren)員繼續教育(yu)工(gong)作(zuo)領(ling)導小(xiao)組，負(fu)責(ze)全(quan)(quan)(quan)省(sheng)(sheng)信(xin)(xin)息(xi)網(wang)(wang)絡安全(quan)(quan)(quan)專(zhuan)業技術(shu)(shu)人(ren)員繼續教育(yu)工(gong)作(zuo)的組織和領(ling)導。下設省(sheng)(sheng)信(xin)(xin)息(xi)網(wang)(wang)絡安全(quan)(quan)(quan)專(zhuan)業技術(shu)(shu)人(ren)員繼續教育(yu)工(gong)作(zuo)辦公室，具體負(fu)責(ze)日常(chang)管(guan)理(li)工(gong)作(zuo)。

第三十五條 下(xia)列(lie)人(ren)(ren)員(yuan)應當參(can)加(jia)信息網(wang)絡安全專業技(ji)術(shu)人(ren)(ren)員(yuan)繼(ji)續(xu)教育，取得省信息網(wang)絡安全專業技(ji)術(shu)人(ren)(ren)員(yuan)繼(ji)續(xu)教育工作辦公室頒(ban)發的(de)信息網(wang)絡安全專業技(ji)術(shu)人(ren)(ren)員(yuan)繼(ji)續(xu)教育合格(ge)證(zheng)書(shu)，持證(zheng)上(shang)崗(gang)：

（一(yi)）計(ji)算機信息(xi)系統運營、使用單(dan)位(wei)信息(xi)安全管理責任人(ren)、信息(xi)審查員；

（二）互聯網接入服務、數(shu)據中心服務、信息服務、上網服務提供單位安全管(guan)理員(yuan)、專業技術人員(yuan)；

（三）安全專用產(chan)品生產(chan)單位專業技術人員(yuan)；

（四）安(an)全服(fu)務機構專業技(ji)術人(ren)員、安(an)全服(fu)務管(guan)理人(ren)員；

（五）其他從(cong)事計(ji)算機信息系統安全保護工作的人員。

第三十六條 信(xin)息(xi)網絡(luo)安全專業(ye)技術(shu)人員繼續教(jiao)(jiao)育(yu)由(you)省信(xin)息(xi)網絡(luo)安全專業(ye)技術(shu)人員繼續教(jiao)(jiao)育(yu)工作辦公(gong)室授權的(de)施(shi)教(jiao)(jiao)機(ji)(ji)構(gou)負責實施(shi)。施(shi)教(jiao)(jiao)機(ji)(ji)構(gou)實行統籌(chou)規劃。

第三十七條 信息網絡安全專業(ye)技術人員(yuan)繼續(xu)教(jiao)育培訓和考試按照有關(guan)規(gui)定進行，實(shi)行統(tong)一教(jiao)學(xue)大(da)綱，統(tong)一教(jiao)材，統(tong)一考試，統(tong)一發(fa)證。

考試合格的，由省信息網絡安(an)全專(zhuan)業技(ji)術人員繼續教育工(gong)作辦(ban)公室發給信息網絡安(an)全專(zhuan)業技(ji)術人員繼續教育證書。

第八章 法律責任

第三十八條 違反(fan)本辦(ban)法(fa)的規定，依照(zhao)有關(guan)法(fa)律、法(fa)規和規章(zhang)處罰。

第九章 附則

第三十九條 本(ben)細(xi)則(ze)下列用語的(de)含義：實(shi)體(ti)安(an)全(quan)，指保護計算機(ji)信息系統(tong)的(de)環境，計算機(ji)設備、設施(shi)（含網(wang)絡）以及其(qi)它媒體(ti)免遭地震(zhen)、水災(zai)、火災(zai)、雷電、有(you)害氣體(ti)和其(qi)它環境事故(gu)（如(ru)電磁(ci)污染等(deng)）破壞。

運(yun)行安全(quan)，指保護計算機信(xin)(xin)息系(xi)統(tong)的(de)信(xin)(xin)息處理(li)過程順利進行。

信息安(an)全，指(zhi)保障信息的完整性(xing)(xing)、保密性(xing)(xing)、可用性(xing)(xing)和可控性(xing)(xing)。

內容安全，指(zhi)確保計算機(ji)信息系統中(zhong)傳輸的信息所承載的內容的合法性。

安全（漏洞）檢測，指利用計算(suan)機(ji)技術手段掃描、探測計算(suan)機(ji)信息系(xi)統安全漏洞。

第四十條 本辦法規(gui)定的“以上”含本數。

第四十一條 本辦法(fa)規定(ding)的(de)有關表格和(he)證書由省公安廳制定(ding)式樣，統一監制。

第四十二條 本辦(ban)法由(you)省公(gong)安廳負責解釋。

第四十三條 本辦法自2008年(nian)12月1日起施(shi)行。