广东省公安厅


广东省公安厅关于计算机信息系统安全保护的实施办法



　　（广东省公安厅2008年9月27日以粤公通字〔2008〕228号发布自2008年12月1日起施行）



　　第一章　总则

　　第一条　为保护计算机信息系统安全，促进信息化建设的健康发展，贯彻落实《广东省计算机信息系统安全保护条　例》，根据有关法律法规，制定本办法。

　　第二条　本办法适用于广东省行政区域内计算机信息系统的安全保护。

　　第三条　县级以上人民政府公安机关公共信息网络安全监察部门具体负责本行政区域内计算机信息系统的安全保护监管工作。

　　第二章　安全监督

　　第四条　公安机关公共信息网络安全监察部门对计算机信息系统安全保护工作行使下列职责：

　　（一）监督、检查、指导计算机信息系统安全保护工作；

　　（二）组织开展计算机信息系统安全等级保护；

　　（三）查处计算机违法犯罪案件；

　　（四）组织处置重大计算机信息系统安全事故和事件；

　　（五）负责计算机病毒和其他有害数据防治管理；

　　（六）负责计算机信息系统安全服务的监督指导；

　　（七）负责计算机信息系统安全专用产品的监督管理；

　　（八）负责计算机信息系统安全培训管理；

　　（九）法律、法规和规章规定的其他职责。

　　第五条　公安机关公共信息网络安全监察部门应当对计算机信息系统落实实体安全、运行安全、信息安全和内容安全措施的情况进行检查。

　　对第三级计算机信息系统每年至少检查一次，对第四级计算机信息系统每半年至少检查一次。对第五级计算机信息系统，应当会同国家指定的专门部门进行检查。

　　对其他计算机信息系统应当不定期开展检查。

　　第六条　公安机关公共信息网络安全监察部门发现计算机信息系统的安全保护等级和安全措施不符合有关规定和技术标准，或者存在安全隐患的，应当通知运营、使用单位进行整改。

　　第七条　公安机关公共信息网络安全监察部门应当向公众提供报警求助渠道，提供计算机信息系统安全指导，发布安全动态，开展安全宣传。

　　第三章　安全保护责任

　　第八条　单位和个人应当依照有关法规、规章和标准，对其所有、使用和管理的计算机信息系统承担相应的安全保护责任。

　　第九条　第二级以上计算机信息系统的运营、使用单位应当建立安全保护组织，并报所在地地级以上市人民政府公安机关公共信息网络安全监察部门备案。

　　第十条　安全保护组织保障本单位计算机信息系统的安全运行，组织本单位计算机信息系统的有害信息防治工作，组织开展本单位计算机信息系统安全教育和培训，向公安机关公共信息网络安全监察部门报告本单位计算机信息系统运行、服务和安全等情况，及时协助公安机关公共信息网络安全监察部门查处违法犯罪和处置突发事件。

　　第十一条　互联单位、互联网接入服务单位、互联网数据中心应当对接入本网络的用户进行资格审查，确认符合国家和省有关规定后方可为其提供服务。

　　互联网接入服务、信息服务单位以及互联网数据中心应当向用户宣传相关法律法规，提供必要的安全保护措施。

　　第十二条　个人主页、博客、聊天室、点对点服务等互联网信息服务的提供单位和使用者应当依照国家和省有关规定，落实相应的安全措施。

　　第十三条　网吧、图书馆、学校、宾馆等提供互联网上网服务的场所应当安装符合国家规定的安全管理系统。

　　第十四条　互联单位、互联网接入服务单位以及互联网数据中心应当每月将接入本网络的用户情况报地级以上市公安机关公共信息网络安全监察部门备案。

　　第十五条　计算机信息系统运营、使用单位应当接受公安机关公共信息网络安全监察部门的监督、检查、指导，如实提供安全保护有关信息、资料及数据文件，不得变相拒绝、拖延、阻碍公安机关公共信息网络安全监察部门依法执行公务。

　　第四章　安全专用产品和安全服务

　　第十六条　安全专用产品必须取得公安部颁发的销售许可证方可销售。

　　第十七条　生产、销售或者提供含有计算机信息网络远程控制、密码猜解、安全（漏洞）检测、信息群发技术的产品和工具的，应当在领取营业执照后30日内（没有营业执照的，自开办之日起30日内）向单位所在地地级以上市人民政府公安机关公共信息网络安全监察部门备案，填写《广东省计算机信息网络安全特种技术备案表》，并提交如下资料：

　　（一）单位简况；

　　（二）营业执照（或其他有效证明）复印件；

　　（三）研发和服务管理制度；

　　（四）主要经营管理人员、技术人员和服务人员有效证件复印件；

　　（五）主要产品情况。

　　第十八条　安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件的安全专用产品：

　　（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；

　　（二）产品的核心技术、关键部件具有我国自主知识产权；

　　（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；

　　（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；

　　（五）对国家安全、社会秩序、公共利益不构成危害。

　　第十九条　符合第十八条　规定的安全专用产品和生产单位应当到省公安厅公共信息网络安全监察部门备案。

　　第二十条　为加强安全服务机构的指导，推动安全服务质量和技术水平的提高，广东省对从事计算机信息系统安全设计、建设、检测、评估等安全服务的机构，根据其注册资本、服务业绩、技术力量、组织管理情况实行分级指导。

　　第五章　安全等级测评

　　第二十一条　第二级以上的计算机信息系统的安全测评应当选择符合下列条件的计算机信息系统安全等级测评机构（简称测评机构）承担：

　　（一）在中华人民共和国境内注册成立（港澳台地区除外），具有相应经营范围的营业执照，注册资本100万元以上；

　　（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

　　（三）近3年完成的测评项目总值150万元以上；

　　（四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人；

　　（五）管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事安全测评工作不少于3年，无犯罪记录；

　　（六）工作人员仅限于中国公民，法人及主要业务、技术人员无犯罪记录；

　　（七）具有与所承担项目适应的技术装备；

　　（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

　　（九）对国家安全、社会秩序、公共利益不构成威胁。

　　第二十二条　广东省对测评机构实施备案制度。符合第二十一条　规定的条　件，承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共信息网络安全监察部门备案。

　　第二十三条　省公安厅公共信息网络安全监察部门对已备案的测评机构进行公布。

　　第二十四条　测评机构应当履行下列义务：

　　（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；

　　（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

　　（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

　　第二十五条　第二级以上的计算机信息系统建设完成后，使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。测评活动应当接受公安机关公共信息网络安全监察部门的监督。

　　第二十六条　计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料：

　　（一）安全测评委托书；

　　（二）计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。

　　第二十七条　安全测评机构在收到委托材料后，应当与委托方协商制订安全测评计划，开展安全测评工作，并出具安全测评报告。

　　经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求，委托单位应当根据测评报告的建议，完善计算机信息系统安全建设，并重新提出安全测评委托。

　　测评机构对计算机信息系统进行使用前安全测评，应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

　　第二十八条　第三级计算机信息系统应当每年至少进行一次安全测评，第四级计算机信息系统应当每半年至少进行一次安全测评，第五级计算机信息系统应当依据特殊安全要求进行安全测评。

　　第六章　应急处置

　　第二十九条　公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系统运营、使用单位应当建立联防机制，依法及时查处通过计算机信息系统进行的违法犯罪行为，组织处置重大突发事件。

　　第三十条　对计算机信息系统中发生的案件和重大安全事故，计算机信息系统的运营、使用单位应当在二十四小时内报告县级以上人民政府公安机关公共信息网络安全监察部门，并保留有关原始记录。

　　第三十一条　第二级以上的计算机信息系统运营、使用单位应当制定重大突发事件应急处置预案并定期实施演练。

　　第三十二条　计算机信息系统发生重大突发事件，有关单位应当按照应急处置预案的要求采取相应的处置措施，并服从公安机关和国家指定的专门部门的调度。

　　第三十三条　地级市以上人民政府公安机关公共信息网络安全监察部门经本机关主管领导批准，为保护计算机信息系统安全，在发生重大突发事件，危及国家安全、公共安全及社会稳定的紧急情况下，可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。

　　第七章　安全培训

　　第三十四条　省公安厅、人事厅联合成立的省信息网络安全专业技术人员继续教育工作领导小组，负责全省信息网络安全专业技术人员继续教育工作的组织和领导。下设省信息网络安全专业技术人员继续教育工作办公室，具体负责日常管理工作。

　　第三十五条　下列人员应当参加信息网络安全专业技术人员继续教育，取得省信息网络安全专业技术人员继续教育工作办公室颁发的信息网络安全专业技术人员继续教育合格证书，持证上岗：

　　（一）计算机信息系统运营、使用单位信息安全管理责任人、信息审查员；

　　（二）互联网接入服务、数据中心服务、信息服务、上网服务提供单位安全管理员、专业技术人员；

　　（三）安全专用产品生产单位专业技术人员；

　　（四）安全服务机构专业技术人员、安全服务管理人员；

　　（五）其他从事计算机信息系统安全保护工作的人员。

　　第三十六条　　信息网络安全专业技术人员继续教育由省信息网络安全专业技术人员继续教育工作办公室授权的施教机构负责实施。施教机构实行统筹规划。

　　第三十七条　　信息网络安全专业技术人员继续教育培训和考试按照有关规定进行，实行统一教学大纲，统一教材，统一考试，统一发证。

　　考试合格的，由省信息网络安全专业技术人员继续教育工作办公室发给信息网络安全专业技术人员继续教育证书。

　　第八章　法律责任

　　第三十八条　违反本办法的规定，依照有关法律、法规和规章处罚。

　　第九章　附则

　　第三十九条　本细则下列用语的含义：实体安全，指保护计算机信息系统的环境，计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、雷电、有害气体和其它环境事故（如电磁污染等）破坏。

　　运行安全，指保护计算机信息系统的信息处理过程顺利进行。

　　信息安全，指保障信息的完整性、保密性、可用性和可控性。

　　内容安全，指确保计算机信息系统中传输的信息所承载的内容的合法性。

　　安全（漏洞）检测，指利用计算机技术手段扫描、探测计算机信息系统安全漏洞。

　　第四十条　本办法规定的“以上”含本数。

　　第四十一条　本办法规定的有关表格和证书由省公安厅制定式样，统一监制。

　　第四十二条　本办法由省公安厅负责解释。

　　第四十三条　本办法自2008年12月1日起施行。