廣東省公安廳關于計算機信息系統(tǒng)安全保護的實施辦法
(廣東省公安廳2008年9月27日以粵公通字[2008]228號發(fā)布 自2008年12月1日起施行)
第一章 總則
第二章 安全監(jiān)督
第三章 安全保護責任
第四章 安全專用產(chǎn)品和安全服務
第五章 安全等級測評
第六章 應急處置
第七章 安全培訓
第八章 法律責任
第九章 附則
第一章 總則
第一條 為保護計算機信息系統(tǒng)安全,促進信息化建設的健康發(fā)展��,貫徹落實《廣東省計算機信息系統(tǒng)安全保護條例》���,根據(jù)有關法律法規(guī)���,制定本辦法。
第二條 本辦法適用于廣東省行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護��。
第三條 縣級以上人民政府公安機關公共信息網(wǎng)絡安全監(jiān)察部門具體負責本行政區(qū)域內(nèi)計算機信息系統(tǒng)的安全保護監(jiān)管工作���。
第二章 安全監(jiān)督
第四條 公安機關公共信息網(wǎng)絡安全監(jiān)察部門對計算機信息系統(tǒng)安全保護工作行使下列職責:
(一)監(jiān)督��、檢查�����、指導計算機信息系統(tǒng)安全保護工作�����;
(二)組織開展計算機信息系統(tǒng)安全等級保護���;
(三)查處計算機違法犯罪案件��;
(四)組織處置重大計算機信息系統(tǒng)安全事故和事件�;
(五)負責計算機病毒和其他有害數(shù)據(jù)防治管理���;
(六)負責計算機信息系統(tǒng)安全服務的監(jiān)督指導;
(七)負責計算機信息系統(tǒng)安全專用產(chǎn)品的監(jiān)督管理���;
(八)負責計算機信息系統(tǒng)安全培訓管理�����;
(九)法律�、法規(guī)和規(guī)章規(guī)定的其他職責����。
第五條 公安機關公共信息網(wǎng)絡安全監(jiān)察部門應當對計算機信息系統(tǒng)落實實體安全、運行安全����、信息安全和內(nèi)容安全措施的情況進行檢查�。
對第三級計算機信息系統(tǒng)每年至少檢查一次��,對第四級計算機信息系統(tǒng)每半年至少檢查一次����。對第五級計算機信息系統(tǒng),應當會同國家指定的專門部門進行檢查����。
對其他計算機信息系統(tǒng)應當不定期開展檢查。
第六條 公安機關公共信息網(wǎng)絡安全監(jiān)察部門發(fā)現(xiàn)計算機信息系統(tǒng)的安全保護等級和安全措施不符合有關規(guī)定和技術標準���,或者存在安全隱患的����,應當通知運營��、使用單位進行整改���。
第七條 公安機關公共信息網(wǎng)絡安全監(jiān)察部門應當向公眾提供報警求助渠道��,提供計算機信息系統(tǒng)安全指導��,發(fā)布安全動態(tài)����,開展安全宣傳。
第三章 安全保護責任
第八條 單位和個人應當依照有關法規(guī)�����、規(guī)章和標準����,對其所有、使用和管理的計算機信息系統(tǒng)承擔相應的安全保護責任����。
第九條 第二級以上計算機信息系統(tǒng)的運營���、使用單位應當建立安全保護組織���,并報所在地地級以上市人民政府公安機關公共信息網(wǎng)絡安全監(jiān)察部門備案。
第十條 安全保護組織保障本單位計算機信息系統(tǒng)的安全運行�����,組織本單位計算機信息系統(tǒng)的有害信息防治工作,組織開展本單位計算機信息系統(tǒng)安全教育和培訓����,向公安機關公共信息網(wǎng)絡安全監(jiān)察部門報告本單位計算機信息系統(tǒng)運行、服務和安全等情況��,及時協(xié)助公安機關公共信息網(wǎng)絡安全監(jiān)察部門查處違法犯罪和處置突發(fā)事件����。
第十一條 互聯(lián)單位、互聯(lián)網(wǎng)接入服務單位���、互聯(lián)網(wǎng)數(shù)據(jù)中心應當對接入本網(wǎng)絡的用戶進行資格審查���,確認符合國家和省有關規(guī)定后方可為其提供服務。
互聯(lián)網(wǎng)接入服務���、信息服務單位以及互聯(lián)網(wǎng)數(shù)據(jù)中心應當向用戶宣傳相關法律法規(guī)�����,提供必要的安全保護措施���。
第十二條 個人主頁����、博客���、聊天室�、點對點服務等互聯(lián)網(wǎng)信息服務的提供單位和使用者應當依照國家和省有關規(guī)定�����,落實相應的安全措施����。
第十三條 網(wǎng)吧、圖書館�����、學校�����、賓館等提供互聯(lián)網(wǎng)上網(wǎng)服務的場所應當安裝符合國家規(guī)定的安全管理系統(tǒng)���。
第十四條 互聯(lián)單位��、互聯(lián)網(wǎng)接入服務單位以及互聯(lián)網(wǎng)數(shù)據(jù)中心應當每月將接入本網(wǎng)絡的用戶情況報地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門備案����。
第十五條 計算機信息系統(tǒng)運營�����、使用單位應當接受公安機關公共信息網(wǎng)絡安全監(jiān)察部門的監(jiān)督�����、檢查�、指導,如實提供安全保護有關信息�、資料及數(shù)據(jù)文件,不得變相拒絕�、拖延、阻礙公安機關公共信息網(wǎng)絡安全監(jiān)察部門依法執(zhí)行公務�����。
第四章 安全專用產(chǎn)品和安全服務
第十六條 安全專用產(chǎn)品必須取得公安部頒發(fā)的銷售許可證方可銷售��。
第十七條 生產(chǎn)、銷售或者提供含有計算機信息網(wǎng)絡遠程控制��、密碼猜解���、安全(漏洞)檢測����、信息群發(fā)技術的產(chǎn)品和工具的��,應當在領取營業(yè)執(zhí)照后30日內(nèi)(沒有營業(yè)執(zhí)照的����,自開辦之日起30日內(nèi))向單位所在地地級以上市人民政府公安機關公共信息網(wǎng)絡安全監(jiān)察部門備案,填寫《廣東省計算機信息網(wǎng)絡安全特種技術備案表》�,并提交如下資料:
(一)單位簡況;
(二)營業(yè)執(zhí)照(或其他有效證明)復印件�����;
(三)研發(fā)和服務管理制度����;
(四)主要經(jīng)營管理人員�����、技術人員和服務人員有效證件復印件;
(五)主要產(chǎn)品情況��。
第十八條 安全保護等級為第三級以上的計算機信息系統(tǒng)應當選用符合下列條件的安全專用產(chǎn)品:
(一)產(chǎn)品研制���、生產(chǎn)單位是由中國公民����、法人投資或者國家投資或者控股的��,在中華人民共和國境內(nèi)具有獨立的法人資格�����;
(二)產(chǎn)品的核心技術�����、關鍵部件具有我國自主知識產(chǎn)權����;
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務���、技術人員無犯罪記錄����;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設置漏洞�、后門、木馬等程序和功能��;
(五)對國家安全�、社會秩序、公共利益不構成危害�����。
第十九條 符合第十八條規(guī)定的安全專用產(chǎn)品和生產(chǎn)單位應當?shù)绞」矎d公共信息網(wǎng)絡安全監(jiān)察部門備案��。
第二十條 為加強安全服務機構的指導����,推動安全服務質(zhì)量和技術水平的提高,廣東省對從事計算機信息系統(tǒng)安全設計�、建設、檢測����、評估等安全服務的機構���,根據(jù)其注冊資本�、服務業(yè)績、技術力量����、組織管理情況實行分級指導。
第五章 安全等級測評
第二十一條 第二級以上的計算機信息系統(tǒng)的安全測評應當選擇符合下列條件的計算機信息系統(tǒng)安全等級測評機構(簡稱測評機構)承擔:
(一)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外)�����,具有相應經(jīng)營范圍的營業(yè)執(zhí)照����,注冊資本100萬元以上;
(二)由中國公民投資����、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
(三)近3年完成的測評項目總值150萬元以上����;
(四)具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于20人,其中大學本科以上學歷的人員不少于15人���;
(五)管理人員應當具有3年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷�,技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱,從事安全測評工作不少于3年��,無犯罪記錄��;
(六)工作人員僅限于中國公民���,法人及主要業(yè)務���、技術人員無犯罪記錄;
(七)具有與所承擔項目適應的技術裝備��;
(八)具有完備的保密管理����、項目管理、質(zhì)量管理��、人員管理和培訓教育等安全管理制度���;
(九)對國家安全�����、社會秩序��、公共利益不構成威脅�。
第二十二條 廣東省對測評機構實施備案制度。符合第二十一條規(guī)定的條件��,承擔第二級以上的計算機信息系統(tǒng)測評工作的機構應當?shù)绞」矎d公共信息網(wǎng)絡安全監(jiān)察部門備案����。
第二十三條 省公安廳公共信息網(wǎng)絡安全監(jiān)察部門對已備案的測評機構進行公布�。
第二十四條 測評機構應當履行下列義務:
(一)遵守國家有關法律法規(guī)和技術標準,提供安全����、客觀、公正的檢測評估服務����,保證測評的質(zhì)量和效果;
(二)保守在測評活動中知悉的國家秘密�����、商業(yè)秘密和個人隱私�����,防范測評風險;
(三)對測評人員進行安全保密教育��,與其簽訂安全保密責任書��,規(guī)定應當履行的安全保密義務和承擔的法律責任���,并負責檢查落實���。
第二十五條 第二級以上的計算機信息系統(tǒng)建設完成后,使用單位應當委托符合規(guī)定的測評機構安全測評合格方可投入使用����。測評活動應當接受公安機關公共信息網(wǎng)絡安全監(jiān)察部門的監(jiān)督。
第二十六條 計算機信息系統(tǒng)運營���、使用單位委托安全測評機構測評����,應當提交下列資料:
(一)安全測評委托書����;
(二)計算機信息系統(tǒng)應用需求���、系統(tǒng)結構拓撲及說明、系統(tǒng)安全組織結構和管理制度�、安全保護設施設計實施方案或者改建實施方案、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單����。
第二十七條 安全測評機構在收到委托材料后,應當與委托方協(xié)商制訂安全測評計劃���,開展安全測評工作,并出具安全測評報告��。
經(jīng)測評�,計算機信息系統(tǒng)安全狀況未達到國家有關規(guī)定和標準的要求,委托單位應當根據(jù)測評報告的建議�����,完善計算機信息系統(tǒng)安全建設�����,并重新提出安全測評委托�。
測評機構對計算機信息系統(tǒng)進行使用前安全測評�,應當預先報告地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門����。安全測評報告由計算機信息系統(tǒng)運營、使用單位報地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門�。
第二十八條 第三級計算機信息系統(tǒng)應當每年至少進行一次安全測評,第四級計算機信息系統(tǒng)應當每半年至少進行一次安全測評��,第五級計算機信息系統(tǒng)應當依據(jù)特殊安全要求進行安全測評��。
第六章 應急處置
第二十九條 公安機關公共信息網(wǎng)絡安全監(jiān)察部門與所在地安全服務機構���、互聯(lián)網(wǎng)運營單位和其他計算機信息系統(tǒng)運營�、使用單位應當建立聯(lián)防機制��,依法及時查處通過計算機信息系統(tǒng)進行的違法犯罪行為��,組織處置重大突發(fā)事件�。
第三十條 對計算機信息系統(tǒng)中發(fā)生的案件和重大安全事故,計算機信息系統(tǒng)的運營���、使用單位應當在二十四小時內(nèi)報告縣級以上人民政府公安機關公共信息網(wǎng)絡安全監(jiān)察部門���,并保留有關原始記錄����。
第三十一條 第二級以上的計算機信息系統(tǒng)運營�、使用單位應當制定重大突發(fā)事件應急處置預案并定期實施演練。
第三十二條 計算機信息系統(tǒng)發(fā)生重大突發(fā)事件����,有關單位應當按照應急處置預案的要求采取相應的處置措施,并服從公安機關和國家指定的專門部門的調(diào)度��。
第三十三條 地級市以上人民政府公安機關公共信息網(wǎng)絡安全監(jiān)察部門經(jīng)本機關主管領導批準�����,為保護計算機信息系統(tǒng)安全�,在發(fā)生重大突發(fā)事件�,危及國家安全、公共安全及社會穩(wěn)定的緊急情況下��,可以采取二十四小時內(nèi)暫時停機�����、暫停聯(lián)網(wǎng)、備份數(shù)據(jù)等措施�。
第七章 安全培訓
第三十四條 省公安廳、人事廳聯(lián)合成立的省信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育工作領導小組�����,負責全省信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育工作的組織和領導�����。下設省信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育工作辦公室��,具體負責日常管理工作�。
第三十五條 下列人員應當參加信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育,取得省信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育工作辦公室頒發(fā)的信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育合格證書����,持證上崗:
(一)計算機信息系統(tǒng)運營、使用單位信息安全管理責任人���、信息審查員���;
(二)互聯(lián)網(wǎng)接入服務、數(shù)據(jù)中心服務����、信息服務���、上網(wǎng)服務提供單位安全管理員、專業(yè)技術人員�����;
(三)安全專用產(chǎn)品生產(chǎn)單位專業(yè)技術人員�����;
(四)安全服務機構專業(yè)技術人員����、安全服務管理人員;
(五)其他從事計算機信息系統(tǒng)安全保護工作的人員����。
第三十六條 信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育由省信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育工作辦公室授權的施教機構負責實施���。施教機構實行統(tǒng)籌規(guī)劃���。
第三十七條 信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育培訓和考試按照有關規(guī)定進行,實行統(tǒng)一教學大綱,統(tǒng)一教材�,統(tǒng)一考試,統(tǒng)一發(fā)證���。
考試合格的�����,由省信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育工作辦公室發(fā)給信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育證書�。
第八章 法律責任
第三十八條 違反本辦法的規(guī)定����,依照有關法律、法規(guī)和規(guī)章處罰����。
第九章 附則
第三十九條 本細則下列用語的含義:實體安全,指保護計算機信息系統(tǒng)的環(huán)境���,計算機設備����、設施(含網(wǎng)絡)以及其它媒體免遭地震����、水災�����、火災��、雷電�、有害氣體和其它環(huán)境事故(如電磁污染等)破壞��。
運行安全��,指保護計算機信息系統(tǒng)的信息處理過程順利進行�����。
信息安全���,指保障信息的完整性���、保密性、可用性和可控性�。
內(nèi)容安全�����,指確保計算機信息系統(tǒng)中傳輸?shù)男畔⑺休d的內(nèi)容的合法性。
安全(漏洞)檢測�����,指利用計算機技術手段掃描����、探測計算機信息系統(tǒng)安全漏洞。
第四十條 本辦法規(guī)定的“以上”含本數(shù)���。
第四十一條 本辦法規(guī)定的有關表格和證書由省公安廳制定式樣���,統(tǒng)一監(jiān)制。
第四十二條 本辦法由省公安廳負責解釋�。
第四十三條 本辦法自2008年12月1日起施行。
公眾號.png)
