廣東省公安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法

（廣東省公安廳2008年9月27日以粵公通字[2008]228號發(fā)布　自2008年12月1日起施行）

第一章　總則

第二章　安全監(jiān)督

第三章　安全保護責任

第四章　安全專用產(chǎn)品和安全服務(wù)

第五章　安全等級測評

第六章　應(yīng)急處置

第七章　安全培訓

第八章　法律責任

第九章　附則

第一章　總則

第一條　為保護計算機信息系統(tǒng)安全，促進信息化建設(shè)的健康發(fā)展，貫徹落實《廣東省計算機信息系統(tǒng)安全保護條例》，根據(jù)有關(guān)法律法規(guī)，制定本辦法。

第二條　本辦法適用于廣東省行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護。

第三條　縣級以上人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門具體負責本行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護監(jiān)管工作。

第二章　安全監(jiān)督

第四條　公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對計算機信息系統(tǒng)安全保護工作行使下列職責：

（一）監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作；

（二）組織開展計算機信息系統(tǒng)安全等級保護；

（三）查處計算機違法犯罪案件；

（四）組織處置重大計算機信息系統(tǒng)安全事故和事件；

（五）負責計算機病毒和其他有害數(shù)據(jù)防治管理；

（六）負責計算機信息系統(tǒng)安全服務(wù)的監(jiān)督指導；

（七）負責計算機信息系統(tǒng)安全專用產(chǎn)品的監(jiān)督管理；

（八）負責計算機信息系統(tǒng)安全培訓管理；

（九）法律、法規(guī)和規(guī)章規(guī)定的其他職責。

第五條　公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當對計算機信息系統(tǒng)落實實體安全、運行安全、信息安全和內(nèi)容安全措施的情況進行檢查。

對第三級計算機信息系統(tǒng)每年至少檢查一次，對第四級計算機信息系統(tǒng)每半年至少檢查一次。對第五級計算機信息系統(tǒng)，應(yīng)當會同國家指定的專門部門進行檢查。

對其他計算機信息系統(tǒng)應(yīng)當不定期開展檢查。

第六條　公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門發(fā)現(xiàn)計算機信息系統(tǒng)的安全保護等級和安全措施不符合有關(guān)規(guī)定和技術(shù)標準，或者存在安全隱患的，應(yīng)當通知運營、使用單位進行整改。

第七條　公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當向公眾提供報警求助渠道，提供計算機信息系統(tǒng)安全指導，發(fā)布安全動態(tài)，開展安全宣傳。

第三章　安全保護責任

第八條　單位和個人應(yīng)當依照有關(guān)法規(guī)、規(guī)章和標準，對其所有、使用和管理的計算機信息系統(tǒng)承擔相應(yīng)的安全保護責任。

第九條　第二級以上計算機信息系統(tǒng)的運營、使用單位應(yīng)當建立安全保護組織，并報所在地地級以上市人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。

第十條　安全保護組織保障本單位計算機信息系統(tǒng)的安全運行，組織本單位計算機信息系統(tǒng)的有害信息防治工作，組織開展本單位計算機信息系統(tǒng)安全教育和培訓，向公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門報告本單位計算機信息系統(tǒng)運行、服務(wù)和安全等情況，及時協(xié)助公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門查處違法犯罪和處置突發(fā)事件。

第十一條　互聯(lián)單位、互聯(lián)網(wǎng)接入服務(wù)單位、互聯(lián)網(wǎng)數(shù)據(jù)中心應(yīng)當對接入本網(wǎng)絡(luò)的用戶進行資格審查，確認符合國家和省有關(guān)規(guī)定后方可為其提供服務(wù)。

互聯(lián)網(wǎng)接入服務(wù)、信息服務(wù)單位以及互聯(lián)網(wǎng)數(shù)據(jù)中心應(yīng)當向用戶宣傳相關(guān)法律法規(guī)，提供必要的安全保護措施。

第十二條　個人主頁、博客、聊天室、點對點服務(wù)等互聯(lián)網(wǎng)信息服務(wù)的提供單位和使用者應(yīng)當依照國家和省有關(guān)規(guī)定，落實相應(yīng)的安全措施。

第十三條　網(wǎng)吧、圖書館、學校、賓館等提供互聯(lián)網(wǎng)上網(wǎng)服務(wù)的場所應(yīng)當安裝符合國家規(guī)定的安全管理系統(tǒng)。

第十四條　互聯(lián)單位、互聯(lián)網(wǎng)接入服務(wù)單位以及互聯(lián)網(wǎng)數(shù)據(jù)中心應(yīng)當每月將接入本網(wǎng)絡(luò)的用戶情況報地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。

第十五條　計算機信息系統(tǒng)運營、使用單位應(yīng)當接受公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督、檢查、指導，如實提供安全保護有關(guān)信息、資料及數(shù)據(jù)文件，不得變相拒絕、拖延、阻礙公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門依法執(zhí)行公務(wù)。

第四章　安全專用產(chǎn)品和安全服務(wù)

第十六條　安全專用產(chǎn)品必須取得公安部頒發(fā)的銷售許可證方可銷售。

第十七條　生產(chǎn)、銷售或者提供含有計算機信息網(wǎng)絡(luò)遠程控制、密碼猜解、安全（漏洞）檢測、信息群發(fā)技術(shù)的產(chǎn)品和工具的，應(yīng)當在領(lǐng)取營業(yè)執(zhí)照后30日內(nèi)（沒有營業(yè)執(zhí)照的，自開辦之日起30日內(nèi)）向單位所在地地級以上市人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案，填寫《廣東省計算機信息網(wǎng)絡(luò)安全特種技術(shù)備案表》，并提交如下資料：

（一）單位簡況；

（二）營業(yè)執(zhí)照（或其他有效證明）復印件；

（三）研發(fā)和服務(wù)管理制度；

（四）主要經(jīng)營管理人員、技術(shù)人員和服務(wù)人員有效證件復印件；

（五）主要產(chǎn)品情況。

第十八條　安全保護等級為第三級以上的計算機信息系統(tǒng)應(yīng)當選用符合下列條件的安全專用產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；

（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；

（五）對國家安全、社會秩序、公共利益不構(gòu)成危害。

第十九條　符合第十八條規(guī)定的安全專用產(chǎn)品和生產(chǎn)單位應(yīng)當?shù)绞」矎d公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。

第二十條　為加強安全服務(wù)機構(gòu)的指導，推動安全服務(wù)質(zhì)量和技術(shù)水平的提高，廣東省對從事計算機信息系統(tǒng)安全設(shè)計、建設(shè)、檢測、評估等安全服務(wù)的機構(gòu)，根據(jù)其注冊資本、服務(wù)業(yè)績、技術(shù)力量、組織管理情況實行分級指導。

第五章　安全等級測評

第二十一條　第二級以上的計算機信息系統(tǒng)的安全測評應(yīng)當選擇符合下列條件的計算機信息系統(tǒng)安全等級測評機構(gòu)（簡稱測評機構(gòu)）承擔：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外），具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照，注冊資本100萬元以上；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；

（三）近3年完成的測評項目總值150萬元以上；

（四）具有計算機安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于20人，其中大學本科以上學歷的人員不少于15人；

（五）管理人員應(yīng)當具有3年以上從事計算機信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷，技術(shù)負責人已獲得計算機信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱，從事安全測評工作不少于3年，無犯罪記錄；

（六）工作人員僅限于中國公民，法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（七）具有與所承擔項目適應(yīng)的技術(shù)裝備；

（八）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；

（九）對國家安全、社會秩序、公共利益不構(gòu)成威脅。

第二十二條　廣東省對測評機構(gòu)實施備案制度。符合第二十一條規(guī)定的條件，承擔第二級以上的計算機信息系統(tǒng)測評工作的機構(gòu)應(yīng)當?shù)绞」矎d公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。

第二十三條　省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門對已備案的測評機構(gòu)進行公布。

第二十四條　測評機構(gòu)應(yīng)當履行下列義務(wù)：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標準，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；

（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規(guī)定應(yīng)當履行的安全保密義務(wù)和承擔的法律責任，并負責檢查落實。

第二十五條　第二級以上的計算機信息系統(tǒng)建設(shè)完成后，使用單位應(yīng)當委托符合規(guī)定的測評機構(gòu)安全測評合格方可投入使用。測評活動應(yīng)當接受公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督。

第二十六條　計算機信息系統(tǒng)運營、使用單位委托安全測評機構(gòu)測評，應(yīng)當提交下列資料：

（一）安全測評委托書；

（二）計算機信息系統(tǒng)應(yīng)用需求、系統(tǒng)結(jié)構(gòu)拓撲及說明、系統(tǒng)安全組織結(jié)構(gòu)和管理制度、安全保護設(shè)施設(shè)計實施方案或者改建實施方案、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單。

第二十七條　安全測評機構(gòu)在收到委托材料后，應(yīng)當與委托方協(xié)商制訂安全測評計劃，開展安全測評工作，并出具安全測評報告。

經(jīng)測評，計算機信息系統(tǒng)安全狀況未達到國家有關(guān)規(guī)定和標準的要求，委托單位應(yīng)當根據(jù)測評報告的建議，完善計算機信息系統(tǒng)安全建設(shè)，并重新提出安全測評委托。

測評機構(gòu)對計算機信息系統(tǒng)進行使用前安全測評，應(yīng)當預先報告地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。安全測評報告由計算機信息系統(tǒng)運營、使用單位報地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。

第二十八條　第三級計算機信息系統(tǒng)應(yīng)當每年至少進行一次安全測評，第四級計算機信息系統(tǒng)應(yīng)當每半年至少進行一次安全測評，第五級計算機信息系統(tǒng)應(yīng)當依據(jù)特殊安全要求進行安全測評。

第六章　應(yīng)急處置

第二十九條　公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門與所在地安全服務(wù)機構(gòu)、互聯(lián)網(wǎng)運營單位和其他計算機信息系統(tǒng)運營、使用單位應(yīng)當建立聯(lián)防機制，依法及時查處通過計算機信息系統(tǒng)進行的違法犯罪行為，組織處置重大突發(fā)事件。

第三十條　對計算機信息系統(tǒng)中發(fā)生的案件和重大安全事故，計算機信息系統(tǒng)的運營、使用單位應(yīng)當在二十四小時內(nèi)報告縣級以上人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門，并保留有關(guān)原始記錄。

第三十一條　第二級以上的計算機信息系統(tǒng)運營、使用單位應(yīng)當制定重大突發(fā)事件應(yīng)急處置預案并定期實施演練。

第三十二條　計算機信息系統(tǒng)發(fā)生重大突發(fā)事件，有關(guān)單位應(yīng)當按照應(yīng)急處置預案的要求采取相應(yīng)的處置措施，并服從公安機關(guān)和國家指定的專門部門的調(diào)度。

第三十三條　地級市以上人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門經(jīng)本機關(guān)主管領(lǐng)導批準，為保護計算機信息系統(tǒng)安全，在發(fā)生重大突發(fā)事件，危及國家安全、公共安全及社會穩(wěn)定的緊急情況下，可以采取二十四小時內(nèi)暫時停機、暫停聯(lián)網(wǎng)、備份數(shù)據(jù)等措施。

第七章　安全培訓

第三十四條　省公安廳、人事廳聯(lián)合成立的省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作領(lǐng)導小組，負責全省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作的組織和領(lǐng)導。下設(shè)省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作辦公室，具體負責日常管理工作。

第三十五條　下列人員應(yīng)當參加信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育，取得省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作辦公室頒發(fā)的信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育合格證書，持證上崗：

（一）計算機信息系統(tǒng)運營、使用單位信息安全管理責任人、信息審查員；

（二）互聯(lián)網(wǎng)接入服務(wù)、數(shù)據(jù)中心服務(wù)、信息服務(wù)、上網(wǎng)服務(wù)提供單位安全管理員、專業(yè)技術(shù)人員；

（三）安全專用產(chǎn)品生產(chǎn)單位專業(yè)技術(shù)人員；

（四）安全服務(wù)機構(gòu)專業(yè)技術(shù)人員、安全服務(wù)管理人員；

（五）其他從事計算機信息系統(tǒng)安全保護工作的人員。

第三十六條　信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育由省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作辦公室授權(quán)的施教機構(gòu)負責實施。施教機構(gòu)實行統(tǒng)籌規(guī)劃。

第三十七條　信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育培訓和考試按照有關(guān)規(guī)定進行，實行統(tǒng)一教學大綱，統(tǒng)一教材，統(tǒng)一考試，統(tǒng)一發(fā)證。

考試合格的，由省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作辦公室發(fā)給信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育證書。

第八章　法律責任

第三十八條　違反本辦法的規(guī)定，依照有關(guān)法律、法規(guī)和規(guī)章處罰。

第九章　附則

第三十九條　本細則下列用語的含義：實體安全，指保護計算機信息系統(tǒng)的環(huán)境，計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災、火災、雷電、有害氣體和其它環(huán)境事故（如電磁污染等）破壞。

運行安全，指保護計算機信息系統(tǒng)的信息處理過程順利進行。

信息安全，指保障信息的完整性、保密性、可用性和可控性。

內(nèi)容安全，指確保計算機信息系統(tǒng)中傳輸?shù)男畔⑺休d的內(nèi)容的合法性。

安全（漏洞）檢測，指利用計算機技術(shù)手段掃描、探測計算機信息系統(tǒng)安全漏洞。

第四十條　本辦法規(guī)定的“以上”含本數(shù)。

第四十一條　本辦法規(guī)定的有關(guān)表格和證書由省公安廳制定式樣，統(tǒng)一監(jiān)制。

第四十二條　本辦法由省公安廳負責解釋。

第四十三條　本辦法自2008年12月1日起施行。