您的位置: 首页 » 法律资料网 » 法律法规 »

广东省人民政府


广东省计算机信息系统安全保护管理规定实施细则（试行）

　

第一章 总则

　　第一条 为了保护计算机信息系统的安全，促进信息化建设的健康发展，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《广东省计算机信息系统安全保护管理规定》，结合本省实际，制定本细则。

　　第二条 本省行政区域内计算机信息系统的安全保护，适用本细则。
军队的计算机信息系统安全保护工作，按照军队的有关法规执行。

　　第三条 县级以上人民政府公安机关公共信息网络安全监察部门负责主管本行政区域内的计算机信息系统安全保护工作。

第二章 安全监督

　　第四条 公安机关公共信息网络安全监察部门对计算机信息系统安全保护工作行使下列职责：
　　（一）监督、检查、指导计算机信息系统安全保护工作；
　　（二）组织实施计算机信息系统安全评估、审验；
　　（三）查处计算机违法犯罪案件；
　　（四）组织处置重大计算机信息系统安全事故和事件；
　　（五）负责计算机病毒和其他有害数据防治管理工作；
　　（六）对计算机信息系统安全服务和安全专用产品实施管理；
　　（七）负责计算机信息系统安全培训管理工作；
　　（八）法律、法规和规章规定的其他职责。

　　第五条 公安机关公共信息网络安全监察部门对重点安全保护单位计算机信息系统的安全检查，每年不应少于一次。

　　第六条 公安机关公共信息网络安全监察部门采取24小时内暂时停机、暂停联网、备份数据等紧急措施须经县级以上公安机关批准。

　　第七条 公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系统使用单位应当建立联防机制，依法及时查处通过计算机信息系统进行的违法犯罪行为，组织处置重大突发事件。

第三章 安全保护责任

　　第八条 单位和个人应当对其所有、使用和管理的计算机信息系统承担相关的安全保护责任。
　　提供接入服务和信息服务以及主机托管、虚拟主机、网站和网页信息维护等其他服务的单位应当和用户在合同中明确双方的计算机信息系统安全保护责任。提供服务的单位应当承担与其提供服务直接相关的安全保护义务。

　　第九条 网吧、社区、学校、图书馆、宾馆等提供上网服务的场所和互联网运营单位应当落实相应的安全措施，安装已取得《计算机信息系统安全专用产品销售许可证》的安全管理系统。

　　第十条 计算机信息系统使用单位和个人为了保护计算机信息系统的安全，可以与安全服务机构明确服务项目和要求，建立相对稳定的服务关系。

第四章 安全专用产品

　　第十一条 计算机信息系统安全专用产品生产单位在其产品进入本省市场销售前，应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》，并报省公安厅公共信息网络安全监察部门备案。

　　第十二条 本省安全专用产品生产单位应当在领取营业执照后30日内持下列资料到省公安厅公共信息网络安全监察部门备案。
　　（一）单位简况；
　　（二）营业执照复印件；
　　（三）安全专用产品类型、功能等情况；
　　（四）主要技术人员资格证书复印件。

　　第十三条 销售信息网络安全检测产品的单位应当在领取营业执照后30日内向地级以上市公安机关公共信息网络安全监察部门申请备案，填写《广东省信息网络安全检测产品销售备案表》，并提交如下资料：
　　（一）单位简况；
　　（二）营业执照复印件；
　　（三）信息网络安全检测产品销售和售后服务管理制度；
　　（四）主要技术人员资格证书和销售人员有效证件复印件。

　　第十四条 信息网络安全检测产品只限于单位购买使用。购买信息网络安全检测产品的单位应当指定专人管理和使用，不得出租、出借、转让、赠送，不得擅自用于检测他人计算机信息系统。
　　用户购买信息网络安全检测产品，应当持单位的证明文件到所在地地级以上市公安机关公共信息网络安全监察部门办理备案手续，公安机关应当在15日内予以办理，发给《信息网络安全检测产品购买备案表》；不予办理的，应当书面说明理由。
　　用户应当凭《信息网络安全检测产品购买备案表》购买信息网络安全检测产品。投入使用后，应当在10日内将本单位的《用户IP地址配置备案表》报送所在地地级以上市公安机关公共信息网络安全监察部门备案。

　　第十五条 信息网络安全检测产品销售单位应当查验用户的《购买信息网络安全检测产品备案表》后方可销售。
　　销售信息网络安全检测产品的单位，应当负责产品的使用授权和维护、更新。

第五章 安全服务机构

　　第十六条 安全服务资质实行等级管理，分一、二、三、四级。各等级所对应的承担工程的资格如下：　　
　　（一）一级：可承担所有计算机信息系统安全设计、建设、检测；
　　（二）二级：可独立承担第一级、第二级、第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测，合作承担第五级安全保护等级或安全投资总额为300万元以上的计算机信息系统安全设计、建设、检测；
　　（三）三级：可独立承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设、检测，合作承担第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测；
　　（四）四级：可独立承担第一级、第二级安全保护等级且安全投资总额为50万元以下的计算机信息系统安全设计、建设，合作承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设。

　　第十七条 各安全服务资质等级条件如下：
　　一级资质
　　（一）具有相应经营范围的营业执照。
　　（二）注册资本1200万元以上，近3年的财务状况良好。
　　（三）近3年完成计算机信息系统安全服务项目总值3000万元以上，并承担过至少1项450万元以上或至少4项150万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30％以上（即不低于900万元）；工程按合同要求质量合格，已通过验收并投入实际应用。
　　（四）具有计算机安全或相关专业资格证书的专业技术人员不少于50人，其中大学本科以上学历的人员不少于40人。
　　（五）安全服务工作的管理人员应当具有5年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于5年。
　　（六）具有较强的综合实力，有先进、完整的软件及系统开发环境和设备，具有较强的技术开发能力。
　　（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制，并能不断改进。
　　（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。
　　（九）竣工项目均通过验收。
　　（十）无触犯计算机信息系统安全保护等有关法律法规的行为。
　　二级资质：
　　（一）具有相应经营范围的营业执照。
　　（二）注册资本500万元以上，近3年的财务状况良好。
　　（三）近3年完成计算机信息系统安全服务项目总值1500万元以上，并承担过至少1项225万元以上或至少3项120万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30％以上（即不低于450万元）；工程按合同要求质量合格，已通过验收并投入实际应用。
　　（四）具有计算机安全或相关专业资格证书的专业技术人员不少于40人，其中大学本科以上学历的人员不少于30人。
　　（五）安全服务工作的管理人员应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于4年。
　　（六）具有先进、完整的软件及系统开发环境和设备，有较强的技术开发能力。
　　（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制。
　　（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。
　　（九）竣工项目均通过验收。
　　（十）无触犯计算机信息系统安全保护等有关法律法规的行为。
　　三级资质：
　　（一）具有相应经营范围的营业执照。
　　（二）注册资本100万元以上，近3年的财务状况良好。
　　（三）近3年完成计算机信息系统安全服务项目总值600万元以上；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30％以上（即不低于180万元）；工程按合同要求质量合格，已通过验收并投入实际应用。
　　（四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人。
　　（五）安全服务工作的管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于3年。
　　（六）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力。
　　（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理。
　　（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。
　　（九）竣工项目均通过验收。
　　（十）无触犯计算机信息系统安全保护等有关法律法规的行为。
　　四级资质：
　　（一）具有相应经营范围的营业执照。
　　（二）注册资本30万元以上，近3年的财务状况良好。
　　（三）具有计算机安全或相关专业资格证书的专业技术人员不少于15人。
　　（四）安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于2年。
　　（五）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力。
　　（六）具有较为完善的组织管理制度、质量保证体系和客户服务体系。
　　（七）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。
　　（八）竣工项目均通过验收。
　　（九）无触犯计算机信息系统安全保护等有关法律法规的行为。

　　第十八条 申请安全服务资质，应当持下列资料向地级以上市公安机关公共信息网络安全监察部门提出申请：
　　（一）申请书；
　　（二）营业执照复印件；
　　（三）管理人员和专业技术人员的身份证明、学历证明和计算机安全培训合格证书；
　　（四）技术装备情况及组织管理制度报告。
　　地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的，报送省公安厅公共信息网络安全监察部门核准；初审不合格的，退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查，符合条件的，核发资质证书。不符合条件的，作出不予核准的决定并说明理由。
　　持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在30日内作出核准意见。

　　第十九条 从事计算机信息系统安全检测的安全服务机构应当具有三级以上安全服务资质。
　　承担重点安全保护单位计算机信息系统和计算机机房使用前安全检测的安全服务机构由地级以上市公安机关公共信息网络安全监察部门实行总量控制，择优授权，应具备下列条件：
　　（一）具有三级以上安全服务资质；
　　（二）中国公民或者组织持有的股权或者股份不少于51%；
　　（三）具有提供长期服务的能力和良好信誉；
　　（四）具有自主开发的信息网络安全检测产品。
　　辖区内无符合条件的安全服务机构的，由地级以上市公安机关公共信息网络安全监察部门委托省内符合条件的安全服务机构承担。

　　第二十条 资质证书分为正本和副本，正本和副本具有同等法律效力。

　　第二十一条 资质证书实行年审制度。年审时间为每年2月至3月，新领（换）资质证书未满半年的不需年审。

　　第二十二条 安全服务机构在年审前应当对本单位上一年度的下列情况进行自查，并形成自查书面材料：
　　（一）遵守国家有关法律法规和本省有关规定的情况；
　　（二）安全服务业绩；
　　（三）用户投诉及处理情况；
　　（四）参加国内和国际标准认证的情况；
　　（五）符合资质证书颁发条件的有关情况。

　　第二十三条 安全服务机构参加年审，应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请：
　　（一）《计算机信息系统安全服务资质年审申请书》；
　　（二）资质证书副本；
　　（三）自查书面材料；
　　（四）其他材料。

　　第二十四条 地级以上市公安机关公共信息网络安全监察部门自接到申请材料之日起15日内进行初审，材料齐全，情况属实的，报送省公安厅公共信息网络安全监察部门审查。初审不合格的，退回申请并说明理由。
　　省公安厅公共信息网络安全监察部门应当自接到初审材料之日起10日内作出年审结论。
　　持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在20日内作出年审结论。
　　年审结论分为合格、降级、取消三种。
　　具备下列情形的，年审结论为合格：
　　（一）遵守国家有关法律法规和本省有关规定；
　　（二）上年度安全服务项目总值不低于本级资质条件规定的年均安全服务项目总值的四分之三（四级资质不低于50万元）；
　　（三）用户投诉基本能合理解决；
　　（四）符合原等级资质证书颁发条件。
　　有下列情形之一的，年审结论为降级：
　　（一）违反国家有关法律法规和本省有关规定，情节轻微；
　　（二）上年度安全服务项目总值低于本级资质条件规定的年均安全服务项目总值的四分之三；
　　（三）10%以上的安全服务项目有用户投诉且未能合理解决；
　　（四）不符合原等级资质证书颁发条件。
　　有下列情形之一的，年审结论为取消：
　　（一）违反国家有关法律法规和本省有关规定，情节严重；
　　（二）年度安全服务项目总值低于50万元；
　　（三）20%以上的安全服务项目有用户投诉且未能合理解决；
　　（四）情况发生变更，达不到资质证书颁发条件。
　　年审合格的，在资质证书副本和《计算机信息系统安全服务资质年审申请书》上注明，加盖省公安厅公共信息网络安全监察专用章。
　　年审结论为降级的，原资质证书作废，换发资质证书。
　　年审结论为取消的，资质证书作废，安全服务机构应当自接到年审结论之日起10日内交回资质证书。
　　未按时参加年审的，年审结论视为取消。
　　年审结论为取消的，两年内不得申请安全服务资质。
　　因特殊原因未年审的，应当书面说明理由，经批准，方可补办相关手续。

　　第二十五条 资质证书有效期为4年，安全服务机构应当在期满前60日内提交换证申请材料。换证程序与资质证书申请程序相同。期满不换证的，资质证书作废。
　　因特殊原因未按时换证的，应当书面说明理由，经批准，方可补办相关手续。

　　第二十六条 资质证书登记事项发生变更的，应在30日内到地级以上市公安机关办理变更手续。

　　第二十七条 安全服务机构在取得资质证书一年后，达到较高一级资质条件的，可申请晋升等级，办理程序与初次申请相同。

　　第二十八条 安全服务机构情况发生变更，不符合原资质等级条件的，应当予以降级。

第六章 安全审验

　　第二十九条 计算机信息系统和计算机机房的规划、设计、建设应当按照国家有关规定和标准，同步落实安全保护制度和措施。

　　第三十条 重点安全保护单位计算机信息系统和计算机机房安全设计方案应当报单位所在地地级以上市公安机关公共信息网络安全监察部门备案。
　　重点安全保护单位计算机信息系统和计算机机房建成后，应当由具有相应资格的安全服务机构进行安全检测。检测合格，方可投入使用。
　　安全检测应当接受公安机关公共信息网络安全监察部门的监督。

　　第三十一条 计算机信息系统安全设计方案备案，应当填写《广东省计算机信息系统安全设计方案备案表》，并提交下列材料：
　　（一）计算机信息系统安全设计方案；
　　（二）计算机信息系统的总体需求说明；
　　（三）计算机信息系统的安全保护等级。

　　第三十二条 计算机机房安全设计方案备案，应当填写《广东省计算机机房安全设计方案备案表》，并提交下列材料：
　　（一）承建单位营业执照和资质证书复印件；
　　（二）计算机机房的用途和安全要求；
　　（三）计算机机房的施工方案和设计图纸；
　　（四）其他应当提交的资料。

　　第三十三条 安全服务机构对重点安全保护单位计算机信息系统和计算机机房进行使用前安全检测，应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全检测结论由重点安全保护单位报地级以上市公安机关公共信息网络安全监察部门。

　　第三十四条 计算机信息系统和计算机机房存在下列情形之一的，应当进行安全检测：
　　（一）变更关键部件；
　　（二）安全检测时间满一年；
　　（三）发生案件或安全事故；
　　（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全检测；
　　（五）其他应当进行安全检测的情形。

　　第三十五条 安全服务机构应当履行下列职责：
　　（一）如实出具检测报告；
　　（二）接受公安机关公共信息网络安全监察部门对检测过程的监督检查；
　　（三）保守用户秘密, 不得保留安全检测相关资料，不得擅自向第三方泄露用户信息。

第七章 安全培训

　　第三十六条 省公安厅、人事厅联合成立的省计算机安全培训领导小组，负责全省计算机安全培训考试工作的组织和领导。下设省计算机安全培训考试办公室，具体负责计算机安全培训的日常管理工作。

　　第三十七条 下列人员应当参加计算机安全培训，取得省计算机安全培训考试办公室颁发的计算机安全培训合格证书，持证上岗：
　　（一）计算机信息系统使用单位安全管理责任人、信息审查员；
　　（二）重点安全保护单位计算机信息系统维护和管理人员；
　　（三）安全专用产品生产单位专业技术人员；
　　（四）安全服务机构专业技术人员、安全服务管理人员；
　　（五）其他从事计算机信息系统安全保护工作的人员。

　　第三十八条 计算机安全培训和考试由省计算机安全培训考试办公室授权的安全培训考试点负责组织。安全培训考试点实行统筹规划，总量控制。

　　第三十九条 计算机安全培训和考试按照有关规定进行，实行统一教学大纲，统一教材，统一考试，统一发证。
　　考试合格的，由省计算机安全培训考试办公室在20日内发给计算机安全培训合格证书。
　　计算机安全培训合格证书有效期4年，期满前60日内应重新参加培训。

第八章 法律责任

　　第四十条 违反本细则的规定，依照有关法律、法规和规章处罚。

第九章 附则

　　第四十一条 本规定下列用语的含义：
　　信息网络安全检测产品，是指扫描、探测计算机信息系统安全漏洞的安全专用产品。
　　计算机信息系统安全服务，是指从事计算机信息系统（包括计算机机房）安全设计、建设、检测、维护、监理等业务。

　　第四十二条 本细则规定的有关表格和证书由省公安厅制定式样，统一监制。

　　第四十三条 本细则由省公安厅负责解释。

　　第四十四条 本细则自2003年7月1日起施行。


国家环境保护总局


国家环境保护总局办公厅文件

环办〔2004〕101号




关于加强自然保护区管理有关问题的通知


各省、自治区、直辖市环境保护局（厅）：

　　近年来，各级环保部门在自然保护区综合管理方面做了大量工作，促进了我国自然保护区事业健康发展。但自然保护区建设和管理面临一些新情况、新问题。为了进一步加强自然保护区综合管理，现就有关问题通知如下：

　　一、切实强化涉及自然保护区建设项目的监督管理。近年来，各种开发和建设活动对自然保护区形成了很大冲击，有的甚至造成了保护区功能和主要保护对象的严重破坏。各地要严格遵守《中华人民共和国自然保护区条例》的有关规定，不得在自然保护区核心区和缓冲区内开展旅游和生产经营活动。经国家批准的重点建设项目，因自然条件限制，确需通过或占用自然保护区的，必须按照《国家级自然保护区范围调整和功能区调整及更改名称管理规定》，履行有关调整的论证、报批程序。地方级自然保护区调整也要参照上述规定执行。涉及自然保护区的建设项目，在进行环境影响评价时，应编写专门章节，就项目对保护区结构功能、保护对象及价值的影响作出预测，提出保护方案，根据影响大小由开发建设单位落实有关保护、恢复和补偿措施。涉及国家级自然保护区的地方建设项目，环评报告书审批前，必须征得我局同意；涉及地方级自然保护区的地方建设项目，省级环保部门要对环境影响报告书进行严格审查。

　　二、建立和完善自然保护区评审机制。评审是自然保护区综合管理的重要制度，目前绝大部分省、自治区、直辖市都建立了省级自然保护区评审委员会，并正常运转，使自然保护区的建立进一步规范化、科学化，质量不断提高。但个别地方至今尚未建立省级自然保护区评审机制，使得环保部门综合管理的作用难以发挥，相关省区应积极协调有关部门尽快建立和健全评审机制。已经建立自然保护区评审机制的，应进一步完善工作制度和评审标准，确保新建的自然保护区的质量和水平。未经省级自然保护区评审委员会评审通过，不得新建省级自然保护区，也不得申报建立国家级自然保护区。

　　三、加强对自然保护区的管理和指导，稳定自然保护区部门管理权属关系。各级环保部门在加强自然保护区综合管理的同时，从抢救性保护和试点示范的角度，归口管理了一批自然保护区，并为这些保护区的建设和管理付出了很大努力。但目前一些地方出现未经请示、协商，随意改变个别自然保护区隶属管理关系的动议，一旦处理不当，将严重影响环保部门自然保护区工作者的积极性，削弱环保部门的职能，产生严重负面影响。因此，各地一定要严格执行国家环保总局等七部门联合发布的《关于进一步加强自然保护区建设和管理工作的通知》（环发〔2002〕163号）精神，不得随意改变自然保护区的管理权属。如遇有关情况，应及时向我局报告。确需改变管理权属关系的环保系统国家级自然保护区，必须报我局同意。

　　四、加强自然保护区管理工作的监督检查。各级环保部门要按照《中华人民共和国自然保护区条例》等规定，认真履行综合监管职责，建立并完善自然保护区管理工作监督检查制度，加强对本辖区内自然保护区管理工作的指导和监督检查，分析自然保护区的保护状况和存在问题，解决保护区管理机构工作中面临的实际困难，对于各种威胁和破坏自然保护区及其保护对象的违法犯罪行为，要会同有关部门依法严肃查处。对于因管理不善造成资源破坏的自然保护区，要亮黄牌警告，并要求限期整改。

　　二○○四年十一月十二日