廣東省公安廳關于計算機信息系統安全保護的實施辦法
(廣東省公安廳2008年9月27日以粵公通字[2008]228號發布 自2008年12月1日起施行)
第一章 總則
第二章 安全監督
第三章 安全保護責任
第四章 安全專用產品和安全服務
第五章 安全等級測評
第六章 應急處置
第七章 安全培訓
第八章 法律責任
第九章 附則
第一章 總則
第一條 為保護計算機信息系統安全,促進信息化建設的健康發展,貫徹落實《廣東省計算機信息系統安全保護條例》,根據有關法律法規,制定本辦法。
第二條 本辦法適用于廣東省行政區域內計算機信息系統的安全保護。
第三條 縣級以上人民政府公安機關公共信息網絡安全監察部門具體負責本行政區域內計算機信息系統的安全保護監管工作。
第二章 安全監督
第四條 公安機關公共信息網絡安全監察部門對計算機信息系統安全保護工作行使下列職責:
(一)監督、檢查、指導計算機信息系統安全保護工作;
(二)組織開展計算機信息系統安全等級保護;
(三)查處計算機違法犯罪案件;
(四)組織處置重大計算機信息系統安全事故和事件;
(五)負責計算機病毒和其他有害數據防治管理;
(六)負責計算機信息系統安全服務的監督指導;
(七)負責計算機信息系統安全專用產品的監督管理;
(八)負責計算機信息系統安全培訓管理;
(九)法律、法規和規章規定的其他職責。
第五條 公安機關公共信息網絡安全監察部門應當對計算機信息系統落實實體安全、運行安全、信息安全和內容安全措施的情況進行檢查。
對第三級計算機信息系統每年至少檢查一次,對第四級計算機信息系統每半年至少檢查一次。對第五級計算機信息系統,應當會同國家指定的專門部門進行檢查。
對其他計算機信息系統應當不定期開展檢查。
第六條 公安機關公共信息網絡安全監察部門發現計算機信息系統的安全保護等級和安全措施不符合有關規定和技術標準,或者存在安全隱患的,應當通知運營、使用單位進行整改。
第七條 公安機關公共信息網絡安全監察部門應當向公眾提供報警求助渠道,提供計算機信息系統安全指導,發布安全動態,開展安全宣傳。
第三章 安全保護責任
第八條 單位和個人應當依照有關法規、規章和標準,對其所有、使用和管理的計算機信息系統承擔相應的安全保護責任。
第九條 第二級以上計算機信息系統的運營、使用單位應當建立安全保護組織,并報所在地地級以上市人民政府公安機關公共信息網絡安全監察部門備案。
第十條 安全保護組織保障本單位計算機信息系統的安全運行,組織本單位計算機信息系統的有害信息防治工作,組織開展本單位計算機信息系統安全教育和培訓,向公安機關公共信息網絡安全監察部門報告本單位計算機信息系統運行、服務和安全等情況,及時協助公安機關公共信息網絡安全監察部門查處違法犯罪和處置突發事件。
第十一條 互聯單位、互聯網接入服務單位、互聯網數據中心應當對接入本網絡的用戶進行資格審查,確認符合國家和省有關規定后方可為其提供服務。
互聯網接入服務、信息服務單位以及互聯網數據中心應當向用戶宣傳相關法律法規,提供必要的安全保護措施。
第十二條 個人主頁、博客、聊天室、點對點服務等互聯網信息服務的提供單位和使用者應當依照國家和省有關規定,落實相應的安全措施。
第十三條 網吧、圖書館、學校、賓館等提供互聯網上網服務的場所應當安裝符合國家規定的安全管理系統。
第十四條 互聯單位、互聯網接入服務單位以及互聯網數據中心應當每月將接入本網絡的用戶情況報地級以上市公安機關公共信息網絡安全監察部門備案。
第十五條 計算機信息系統運營、使用單位應當接受公安機關公共信息網絡安全監察部門的監督、檢查、指導,如實提供安全保護有關信息、資料及數據文件,不得變相拒絕、拖延、阻礙公安機關公共信息網絡安全監察部門依法執行公務。
第四章 安全專用產品和安全服務
第十六條 安全專用產品必須取得公安部頒發的銷售許可證方可銷售。
第十七條 生產、銷售或者提供含有計算機信息網絡遠程控制、密碼猜解、安全(漏洞)檢測、信息群發技術的產品和工具的,應當在領取營業執照后30日內(沒有營業執照的,自開辦之日起30日內)向單位所在地地級以上市人民政府公安機關公共信息網絡安全監察部門備案,填寫《廣東省計算機信息網絡安全特種技術備案表》,并提交如下資料:
(一)單位簡況;
(二)營業執照(或其他有效證明)復印件;
(三)研發和服務管理制度;
(四)主要經營管理人員、技術人員和服務人員有效證件復印件;
(五)主要產品情況。
第十八條 安全保護等級為第三級以上的計算機信息系統應當選用符合下列條件的安全專用產品:
(一)產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內具有獨立的法人資格;
(二)產品的核心技術、關鍵部件具有我國自主知識產權;
(三)產品研制、生產單位及其主要業務、技術人員無犯罪記錄;
(四)產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構成危害。
第十九條 符合第十八條規定的安全專用產品和生產單位應當到省公安廳公共信息網絡安全監察部門備案。
第二十條 為加強安全服務機構的指導,推動安全服務質量和技術水平的提高,廣東省對從事計算機信息系統安全設計、建設、檢測、評估等安全服務的機構,根據其注冊資本、服務業績、技術力量、組織管理情況實行分級指導。
第五章 安全等級測評
第二十一條 第二級以上的計算機信息系統的安全測評應當選擇符合下列條件的計算機信息系統安全等級測評機構(簡稱測評機構)承擔:
(一)在中華人民共和國境內注冊成立(港澳臺地區除外),具有相應經營范圍的營業執照,注冊資本100萬元以上;
(二)由中國公民投資、中國法人投資或者國家投資的企事業單位(港澳臺地區除外);
(三)近3年完成的測評項目總值150萬元以上;
(四)具有計算機安全或相關專業資格證書的專業技術人員不少于20人,其中大學本科以上學歷的人員不少于15人;
(五)管理人員應當具有3年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事安全測評工作不少于3年,無犯罪記錄;
(六)工作人員僅限于中國公民,法人及主要業務、技術人員無犯罪記錄;
(七)具有與所承擔項目適應的技術裝備;
(八)具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度;
(九)對國家安全、社會秩序、公共利益不構成威脅。
第二十二條 廣東省對測評機構實施備案制度。符合第二十一條規定的條件,承擔第二級以上的計算機信息系統測評工作的機構應當到省公安廳公共信息網絡安全監察部門備案。
第二十三條 省公安廳公共信息網絡安全監察部門對已備案的測評機構進行公布。
第二十四條 測評機構應當履行下列義務:
(一)遵守國家有關法律法規和技術標準,提供安全、客觀、公正的檢測評估服務,保證測評的質量和效果;
(二)保守在測評活動中知悉的國家秘密、商業秘密和個人隱私,防范測評風險;
(三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
第二十五條 第二級以上的計算機信息系統建設完成后,使用單位應當委托符合規定的測評機構安全測評合格方可投入使用。測評活動應當接受公安機關公共信息網絡安全監察部門的監督。
第二十六條 計算機信息系統運營、使用單位委托安全測評機構測評,應當提交下列資料:
(一)安全測評委托書;
(二)計算機信息系統應用需求、系統結構拓撲及說明、系統安全組織結構和管理制度、安全保護設施設計實施方案或者改建實施方案、系統軟件硬件和信息安全產品清單。
第二十七條 安全測評機構在收到委托材料后,應當與委托方協商制訂安全測評計劃,開展安全測評工作,并出具安全測評報告。
經測評,計算機信息系統安全狀況未達到國家有關規定和標準的要求,委托單位應當根據測評報告的建議,完善計算機信息系統安全建設,并重新提出安全測評委托。
測評機構對計算機信息系統進行使用前安全測評,應當預先報告地級以上市公安機關公共信息網絡安全監察部門。安全測評報告由計算機信息系統運營、使用單位報地級以上市公安機關公共信息網絡安全監察部門。
第二十八條 第三級計算機信息系統應當每年至少進行一次安全測評,第四級計算機信息系統應當每半年至少進行一次安全測評,第五級計算機信息系統應當依據特殊安全要求進行安全測評。
第六章 應急處置
第二十九條 公安機關公共信息網絡安全監察部門與所在地安全服務機構、互聯網運營單位和其他計算機信息系統運營、使用單位應當建立聯防機制,依法及時查處通過計算機信息系統進行的違法犯罪行為,組織處置重大突發事件。
第三十條 對計算機信息系統中發生的案件和重大安全事故,計算機信息系統的運營、使用單位應當在二十四小時內報告縣級以上人民政府公安機關公共信息網絡安全監察部門,并保留有關原始記錄。
第三十一條 第二級以上的計算機信息系統運營、使用單位應當制定重大突發事件應急處置預案并定期實施演練。
第三十二條 計算機信息系統發生重大突發事件,有關單位應當按照應急處置預案的要求采取相應的處置措施,并服從公安機關和國家指定的專門部門的調度。
第三十三條 地級市以上人民政府公安機關公共信息網絡安全監察部門經本機關主管領導批準,為保護計算機信息系統安全,在發生重大突發事件,危及國家安全、公共安全及社會穩定的緊急情況下,可以采取二十四小時內暫時停機、暫停聯網、備份數據等措施。
第七章 安全培訓
第三十四條 省公安廳、人事廳聯合成立的省信息網絡安全專業技術人員繼續教育工作領導小組,負責全省信息網絡安全專業技術人員繼續教育工作的組織和領導。下設省信息網絡安全專業技術人員繼續教育工作辦公室,具體負責日常管理工作。
第三十五條 下列人員應當參加信息網絡安全專業技術人員繼續教育,取得省信息網絡安全專業技術人員繼續教育工作辦公室頒發的信息網絡安全專業技術人員繼續教育合格證書,持證上崗:
(一)計算機信息系統運營、使用單位信息安全管理責任人、信息審查員;
(二)互聯網接入服務、數據中心服務、信息服務、上網服務提供單位安全管理員、專業技術人員;
(三)安全專用產品生產單位專業技術人員;
(四)安全服務機構專業技術人員、安全服務管理人員;
(五)其他從事計算機信息系統安全保護工作的人員。
第三十六條 信息網絡安全專業技術人員繼續教育由省信息網絡安全專業技術人員繼續教育工作辦公室授權的施教機構負責實施。施教機構實行統籌規劃。
第三十七條 信息網絡安全專業技術人員繼續教育培訓和考試按照有關規定進行,實行統一教學大綱,統一教材,統一考試,統一發證。
考試合格的,由省信息網絡安全專業技術人員繼續教育工作辦公室發給信息網絡安全專業技術人員繼續教育證書。
第八章 法律責任
第三十八條 違反本辦法的規定,依照有關法律、法規和規章處罰。
第九章 附則
第三十九條 本細則下列用語的含義:實體安全,指保護計算機信息系統的環境,計算機設備、設施(含網絡)以及其它媒體免遭地震、水災、火災、雷電、有害氣體和其它環境事故(如電磁污染等)破壞。
運行安全,指保護計算機信息系統的信息處理過程順利進行。
信息安全,指保障信息的完整性、保密性、可用性和可控性。
內容安全,指確保計算機信息系統中傳輸的信息所承載的內容的合法性。
安全(漏洞)檢測,指利用計算機技術手段掃描、探測計算機信息系統安全漏洞。
第四十條 本辦法規定的“以上”含本數。
第四十一條 本辦法規定的有關表格和證書由省公安廳制定式樣,統一監制。
第四十二條 本辦法由省公安廳負責解釋。
第四十三條 本辦法自2008年12月1日起施行。
