廣東省公安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法
(廣東省公安廳2008年9月27日以粵公通字[2008]228號發(fā)布 自2008年12月1日起施行)
第一章 總則
第二章 安全監(jiān)督
第三章 安全保護責(zé)任
第四章 安全專用產(chǎn)品和安全服務(wù)
第五章 安全等級測評
第六章 應(yīng)急處置
第七章 安全培訓(xùn)
第八章 法律責(zé)任
第九章 附則
第一章 總則
第一條 為保護計算機信息系統(tǒng)安全��,促進信息化建設(shè)的健康發(fā)展����,貫徹落實《廣東省計算機信息系統(tǒng)安全保護條例》����,根據(jù)有關(guān)法律法規(guī),制定本辦法����。
第二條 本辦法適用于廣東省行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護。
第三條 縣級以上人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門具體負責(zé)本行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護監(jiān)管工作�����。
第二章 安全監(jiān)督
第四條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對計算機信息系統(tǒng)安全保護工作行使下列職責(zé):
(一)監(jiān)督�����、檢查����、指導(dǎo)計算機信息系統(tǒng)安全保護工作���;
(二)組織開展計算機信息系統(tǒng)安全等級保護;
(三)查處計算機違法犯罪案件����;
(四)組織處置重大計算機信息系統(tǒng)安全事故和事件;
(五)負責(zé)計算機病毒和其他有害數(shù)據(jù)防治管理���;
(六)負責(zé)計算機信息系統(tǒng)安全服務(wù)的監(jiān)督指導(dǎo)��;
(七)負責(zé)計算機信息系統(tǒng)安全專用產(chǎn)品的監(jiān)督管理���;
(八)負責(zé)計算機信息系統(tǒng)安全培訓(xùn)管理�����;
(九)法律��、法規(guī)和規(guī)章規(guī)定的其他職責(zé)���。
第五條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)對計算機信息系統(tǒng)落實實體安全�����、運行安全���、信息安全和內(nèi)容安全措施的情況進行檢查����。
對第三級計算機信息系統(tǒng)每年至少檢查一次�����,對第四級計算機信息系統(tǒng)每半年至少檢查一次��。對第五級計算機信息系統(tǒng)�����,應(yīng)當(dāng)會同國家指定的專門部門進行檢查�。
對其他計算機信息系統(tǒng)應(yīng)當(dāng)不定期開展檢查。
第六條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門發(fā)現(xiàn)計算機信息系統(tǒng)的安全保護等級和安全措施不符合有關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)���,或者存在安全隱患的�,應(yīng)當(dāng)通知運營���、使用單位進行整改�。
第七條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)向公眾提供報警求助渠道,提供計算機信息系統(tǒng)安全指導(dǎo)��,發(fā)布安全動態(tài)����,開展安全宣傳。
第三章 安全保護責(zé)任
第八條 單位和個人應(yīng)當(dāng)依照有關(guān)法規(guī)����、規(guī)章和標(biāo)準(zhǔn),對其所有����、使用和管理的計算機信息系統(tǒng)承擔(dān)相應(yīng)的安全保護責(zé)任。
第九條 第二級以上計算機信息系統(tǒng)的運營���、使用單位應(yīng)當(dāng)建立安全保護組織�,并報所在地地級以上市人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案�。
第十條 安全保護組織保障本單位計算機信息系統(tǒng)的安全運行���,組織本單位計算機信息系統(tǒng)的有害信息防治工作���,組織開展本單位計算機信息系統(tǒng)安全教育和培訓(xùn)���,向公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門報告本單位計算機信息系統(tǒng)運行、服務(wù)和安全等情況��,及時協(xié)助公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門查處違法犯罪和處置突發(fā)事件�����。
第十一條 互聯(lián)單位��、互聯(lián)網(wǎng)接入服務(wù)單位��、互聯(lián)網(wǎng)數(shù)據(jù)中心應(yīng)當(dāng)對接入本網(wǎng)絡(luò)的用戶進行資格審查�,確認(rèn)符合國家和省有關(guān)規(guī)定后方可為其提供服務(wù)。
互聯(lián)網(wǎng)接入服務(wù)���、信息服務(wù)單位以及互聯(lián)網(wǎng)數(shù)據(jù)中心應(yīng)當(dāng)向用戶宣傳相關(guān)法律法規(guī)��,提供必要的安全保護措施����。
第十二條 個人主頁�����、博客、聊天室�����、點對點服務(wù)等互聯(lián)網(wǎng)信息服務(wù)的提供單位和使用者應(yīng)當(dāng)依照國家和省有關(guān)規(guī)定��,落實相應(yīng)的安全措施���。
第十三條 網(wǎng)吧�����、圖書館�、學(xué)校�����、賓館等提供互聯(lián)網(wǎng)上網(wǎng)服務(wù)的場所應(yīng)當(dāng)安裝符合國家規(guī)定的安全管理系統(tǒng)����。
第十四條 互聯(lián)單位���、互聯(lián)網(wǎng)接入服務(wù)單位以及互聯(lián)網(wǎng)數(shù)據(jù)中心應(yīng)當(dāng)每月將接入本網(wǎng)絡(luò)的用戶情況報地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案��。
第十五條 計算機信息系統(tǒng)運營��、使用單位應(yīng)當(dāng)接受公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督�����、檢查�、指導(dǎo),如實提供安全保護有關(guān)信息��、資料及數(shù)據(jù)文件��,不得變相拒絕�����、拖延��、阻礙公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門依法執(zhí)行公務(wù)�。
第四章 安全專用產(chǎn)品和安全服務(wù)
第十六條 安全專用產(chǎn)品必須取得公安部頒發(fā)的銷售許可證方可銷售。
第十七條 生產(chǎn)����、銷售或者提供含有計算機信息網(wǎng)絡(luò)遠程控制�����、密碼猜解����、安全(漏洞)檢測���、信息群發(fā)技術(shù)的產(chǎn)品和工具的����,應(yīng)當(dāng)在領(lǐng)取營業(yè)執(zhí)照后30日內(nèi)(沒有營業(yè)執(zhí)照的�,自開辦之日起30日內(nèi))向單位所在地地級以上市人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案,填寫《廣東省計算機信息網(wǎng)絡(luò)安全特種技術(shù)備案表》��,并提交如下資料:
(一)單位簡況�;
(二)營業(yè)執(zhí)照(或其他有效證明)復(fù)印件;
(三)研發(fā)和服務(wù)管理制度�����;
(四)主要經(jīng)營管理人員��、技術(shù)人員和服務(wù)人員有效證件復(fù)印件;
(五)主要產(chǎn)品情況��。
第十八條 安全保護等級為第三級以上的計算機信息系統(tǒng)應(yīng)當(dāng)選用符合下列條件的安全專用產(chǎn)品:
(一)產(chǎn)品研制��、生產(chǎn)單位是由中國公民�、法人投資或者國家投資或者控股的���,在中華人民共和國境內(nèi)具有獨立的法人資格��;
(二)產(chǎn)品的核心技術(shù)�����、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)����;
(三)產(chǎn)品研制�����、生產(chǎn)單位及其主要業(yè)務(wù)���、技術(shù)人員無犯罪記錄���;
(四)產(chǎn)品研制��、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞�����、后門���、木馬等程序和功能;
(五)對國家安全�����、社會秩序��、公共利益不構(gòu)成危害�����。
第十九條 符合第十八條規(guī)定的安全專用產(chǎn)品和生產(chǎn)單位應(yīng)當(dāng)?shù)绞」矎d公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案��。
第二十條 為加強安全服務(wù)機構(gòu)的指導(dǎo)���,推動安全服務(wù)質(zhì)量和技術(shù)水平的提高���,廣東省對從事計算機信息系統(tǒng)安全設(shè)計�����、建設(shè)���、檢測��、評估等安全服務(wù)的機構(gòu)�����,根據(jù)其注冊資本�、服務(wù)業(yè)績、技術(shù)力量�����、組織管理情況實行分級指導(dǎo)����。
第五章 安全等級測評
第二十一條 第二級以上的計算機信息系統(tǒng)的安全測評應(yīng)當(dāng)選擇符合下列條件的計算機信息系統(tǒng)安全等級測評機構(gòu)(簡稱測評機構(gòu))承擔(dān):
(一)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外),具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照����,注冊資本100萬元以上��;
(二)由中國公民投資�、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外)��;
(三)近3年完成的測評項目總值150萬元以上�����;
(四)具有計算機安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于20人���,其中大學(xué)本科以上學(xué)歷的人員不少于15人����;
(五)管理人員應(yīng)當(dāng)具有3年以上從事計算機信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷���,技術(shù)負責(zé)人已獲得計算機信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱�����,從事安全測評工作不少于3年����,無犯罪記錄;
(六)工作人員僅限于中國公民��,法人及主要業(yè)務(wù)�����、技術(shù)人員無犯罪記錄�;
(七)具有與所承擔(dān)項目適應(yīng)的技術(shù)裝備;
(八)具有完備的保密管理�、項目管理、質(zhì)量管理���、人員管理和培訓(xùn)教育等安全管理制度;
(九)對國家安全����、社會秩序、公共利益不構(gòu)成威脅��。
第二十二條 廣東省對測評機構(gòu)實施備案制度����。符合第二十一條規(guī)定的條件,承擔(dān)第二級以上的計算機信息系統(tǒng)測評工作的機構(gòu)應(yīng)當(dāng)?shù)绞」矎d公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案���。
第二十三條 省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門對已備案的測評機構(gòu)進行公布�。
第二十四條 測評機構(gòu)應(yīng)當(dāng)履行下列義務(wù):
(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全�����、客觀�����、公正的檢測評估服務(wù)�,保證測評的質(zhì)量和效果;
(二)保守在測評活動中知悉的國家秘密����、商業(yè)秘密和個人隱私,防范測評風(fēng)險��;
(三)對測評人員進行安全保密教育�����,與其簽訂安全保密責(zé)任書��,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任���,并負責(zé)檢查落實����。
第二十五條 第二級以上的計算機信息系統(tǒng)建設(shè)完成后,使用單位應(yīng)當(dāng)委托符合規(guī)定的測評機構(gòu)安全測評合格方可投入使用�����。測評活動應(yīng)當(dāng)接受公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督��。
第二十六條 計算機信息系統(tǒng)運營�����、使用單位委托安全測評機構(gòu)測評�,應(yīng)當(dāng)提交下列資料:
(一)安全測評委托書;
(二)計算機信息系統(tǒng)應(yīng)用需求���、系統(tǒng)結(jié)構(gòu)拓撲及說明、系統(tǒng)安全組織結(jié)構(gòu)和管理制度���、安全保護設(shè)施設(shè)計實施方案或者改建實施方案�����、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單�。
第二十七條 安全測評機構(gòu)在收到委托材料后,應(yīng)當(dāng)與委托方協(xié)商制訂安全測評計劃���,開展安全測評工作�,并出具安全測評報告�。
經(jīng)測評,計算機信息系統(tǒng)安全狀況未達到國家有關(guān)規(guī)定和標(biāo)準(zhǔn)的要求����,委托單位應(yīng)當(dāng)根據(jù)測評報告的建議,完善計算機信息系統(tǒng)安全建設(shè)��,并重新提出安全測評委托���。
測評機構(gòu)對計算機信息系統(tǒng)進行使用前安全測評�����,應(yīng)當(dāng)預(yù)先報告地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門�����。安全測評報告由計算機信息系統(tǒng)運營����、使用單位報地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。
第二十八條 第三級計算機信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次安全測評��,第四級計算機信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次安全測評���,第五級計算機信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全要求進行安全測評��。
第六章 應(yīng)急處置
第二十九條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門與所在地安全服務(wù)機構(gòu)��、互聯(lián)網(wǎng)運營單位和其他計算機信息系統(tǒng)運營����、使用單位應(yīng)當(dāng)建立聯(lián)防機制��,依法及時查處通過計算機信息系統(tǒng)進行的違法犯罪行為����,組織處置重大突發(fā)事件。
第三十條 對計算機信息系統(tǒng)中發(fā)生的案件和重大安全事故�����,計算機信息系統(tǒng)的運營���、使用單位應(yīng)當(dāng)在二十四小時內(nèi)報告縣級以上人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門����,并保留有關(guān)原始記錄����。
第三十一條 第二級以上的計算機信息系統(tǒng)運營、使用單位應(yīng)當(dāng)制定重大突發(fā)事件應(yīng)急處置預(yù)案并定期實施演練���。
第三十二條 計算機信息系統(tǒng)發(fā)生重大突發(fā)事件��,有關(guān)單位應(yīng)當(dāng)按照應(yīng)急處置預(yù)案的要求采取相應(yīng)的處置措施��,并服從公安機關(guān)和國家指定的專門部門的調(diào)度����。
第三十三條 地級市以上人民政府公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門經(jīng)本機關(guān)主管領(lǐng)導(dǎo)批準(zhǔn)�����,為保護計算機信息系統(tǒng)安全�,在發(fā)生重大突發(fā)事件�,危及國家安全����、公共安全及社會穩(wěn)定的緊急情況下,可以采取二十四小時內(nèi)暫時停機�、暫停聯(lián)網(wǎng)、備份數(shù)據(jù)等措施��。
第七章 安全培訓(xùn)
第三十四條 省公安廳��、人事廳聯(lián)合成立的省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作領(lǐng)導(dǎo)小組�����,負責(zé)全省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作的組織和領(lǐng)導(dǎo)�����。下設(shè)省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作辦公室���,具體負責(zé)日常管理工作����。
第三十五條 下列人員應(yīng)當(dāng)參加信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育����,取得省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作辦公室頒發(fā)的信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育合格證書,持證上崗:
(一)計算機信息系統(tǒng)運營�、使用單位信息安全管理責(zé)任人、信息審查員����;
(二)互聯(lián)網(wǎng)接入服務(wù)、數(shù)據(jù)中心服務(wù)�����、信息服務(wù)�、上網(wǎng)服務(wù)提供單位安全管理員、專業(yè)技術(shù)人員�����;
(三)安全專用產(chǎn)品生產(chǎn)單位專業(yè)技術(shù)人員����;
(四)安全服務(wù)機構(gòu)專業(yè)技術(shù)人員、安全服務(wù)管理人員��;
(五)其他從事計算機信息系統(tǒng)安全保護工作的人員��。
第三十六條 信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育由省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作辦公室授權(quán)的施教機構(gòu)負責(zé)實施。施教機構(gòu)實行統(tǒng)籌規(guī)劃�����。
第三十七條 信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育培訓(xùn)和考試按照有關(guān)規(guī)定進行���,實行統(tǒng)一教學(xué)大綱�����,統(tǒng)一教材�����,統(tǒng)一考試��,統(tǒng)一發(fā)證�。
考試合格的����,由省信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育工作辦公室發(fā)給信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育證書。
第八章 法律責(zé)任
第三十八條 違反本辦法的規(guī)定��,依照有關(guān)法律����、法規(guī)和規(guī)章處罰�。
第九章 附則
第三十九條 本細則下列用語的含義:實體安全�,指保護計算機信息系統(tǒng)的環(huán)境,計算機設(shè)備���、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)��、火災(zāi)�����、雷電�、有害氣體和其它環(huán)境事故(如電磁污染等)破壞。
運行安全����,指保護計算機信息系統(tǒng)的信息處理過程順利進行。
信息安全����,指保障信息的完整性、保密性���、可用性和可控性���。
內(nèi)容安全�,指確保計算機信息系統(tǒng)中傳輸?shù)男畔⑺休d的內(nèi)容的合法性����。
安全(漏洞)檢測,指利用計算機技術(shù)手段掃描����、探測計算機信息系統(tǒng)安全漏洞。
第四十條 本辦法規(guī)定的“以上”含本數(shù)����。
第四十一條 本辦法規(guī)定的有關(guān)表格和證書由省公安廳制定式樣,統(tǒng)一監(jiān)制�。
第四十二條 本辦法由省公安廳負責(zé)解釋。
第四十三條 本辦法自2008年12月1日起施行�����。
公眾號.png)
