總則 

第 一條 為(wèi)規範信息安全等級保護東電管理，提高信息安全保障能力和水平，維護國家(jiā)安全、社會從人(huì)穩定和公共利益，保障和促進信息師市化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律務林法規，制定本辦法。 

第 二條 國家(jiā)通(tōng)過制拍新定統一的信息安全等級保護管理規範和技術标準，組織公民、法人和熱上其他(tā)組織對信息系統分等級實行安全保護，對等級保照坐護工(gōng)作的實施進行監督、管理。&n短事bsp;

第 三條 公安機關負責信息安全等級保護工(gōng可街)作的監督、檢查、指導。國家(jiā)保密工(gōng)從鐵作部門負責等級保護工(gōng)作中有關保密工舞我(gōng)作的監督、檢查、指導。國家(j老體iā)密碼管理部門負責等級保護工(gōng)作中有關密碼工(gōng)作的監督技歌、檢查、指導。涉及其他(tā)職能部門管轄範圍的事項，由有關職能部門依照國家動視(jiā)法律法規的規定進行管理。國務院信息化工(gōng)作辦公下生室及地方信息化領導小組辦事機構負責等級保護工(gōng哥草)作的部門間協調。 

第四條 信息系統主管部門應當依照本辦法及相關标準規範，督促、檢查費木、指導本行業、本部門或者本地區信息系統運營、站化使用單位的信息安全等級保護工(gōng)習中作。 

第五條 信息系統的運營、使用單位應當依照本辦法及其相關标化唱準規範，履行信息安全等級保護的義務和責任。 

第二章 等級劃分與保護 

第六條 國家(jiā)信息安全等級保護堅持自主定級、自工放主保護的原則。信息系統的安全保護等級應當根據信息系統在了現國家(jiā)安全、經濟建設、社會(huì)生活中的重要程話快度，信息系統遭到破壞後對國家(jiā)安全、煙高社會(huì)秩序、公共利益以及公民、法人和其一秒他(tā)組織的合法權益的危害程度等因素确定。 

第七條 信息系統的安全保護等級分為(wèi)以下五級： 

信息系統受到破壞後，會(huì)對公民、法人和其他(tā)組織的合紙通法權益造成損害，但不(bù)損害國家(jiā)安全、社會(技業huì)秩序和公共利益。 

第二級，信息系統受到破壞後，會(huì)對公民、法人和理章其他(tā)組織的合法權益産生嚴重損害，或者對社會(huì)秩序和公共利益造亮生成損害，但不(bù)損害國家(jiā)安全。&n但開bsp;

第三級，信息系統受到破壞後，會(huì)對社會(huì)秩序和公共利益造老冷成嚴重損害，或者對國家(jiā)安全造成損害。 生厭;

第四級，信息系統受到破壞後，會(huì)對社到筆會(huì)秩序和公共利益造成特别嚴重損害，或者對國家(jiā)安全造成嚴重村店損害。 

第五級，信息系統受到破壞後，會(huì)對國家(jiā)安全物老造成特别嚴重損害。 

第八條 信息系統運營、使用單位依據本辦法和相關技術标準對信息系統進行保護，國朋呢家(jiā)有關信息安全監管部門對其信息安全等級保護工(gōng)靜近作進行監督管理。 

信息系統運營、使用單位應當依據國家(ji也綠ā)有關管理規範和技術标準進行保護。&nbs務答p;

第二級信息系統運營、使用單位應當依據國家(ji票鐵ā)有關管理規範和技術标準進行保護。國家(jiā)信息安全監管部門對該級信息他熱系統信息安全等級保護工(gōng)作進行指導。&nb到又sp;

第三級信息系統運營、使用單位應當依據國家(jiā)有關管理規範和技術标學文準進行保護。國家(jiā)信息安全監管部門對該級信息系統畫白信息安全等級保護工(gōng)作進行監督、檢查。&nb數公sp;

第四級信息系統運營、使用單位應當依據國家信我(jiā)有關管理規範、技術标準和業務專門需求廠吃進行保護。國家(jiā)信息安全監管部門對該級信息系統事坐信息安全等級保護工(gōng)作進行強制監督、檢查。 不街

第五級信息系統運營、使用單位應當依據國家(件好jiā)管理規範、技術标準和業務特殊安全需求進行保護。國風來家(jiā)指定專門部門對該級信息系統信息安全等級保護工(gōng)作進行專信火門監督、檢查。

第三章 等級保護的實施與管理 

第九條 信息系統運營、使用單位應當按照《信息大能系統安全等級保護實施指南》具體實施等級保護工(gōng樂算)作。 

第十條 信息系統運營、使用單位應當依據本辦法飛農和《信息系統安全等級保護定級指南》确定信息系統的安全保護等級。有主管問爸部門的，應當經主管部門審核批準。 

跨省或者全國統一聯網運行的信息系統可以由主管兵什部門統一确定安全保護等級。 

對拟确定為(wèi)第四級以上信息系統的，運營、使用單位或者主管部門應當請國家得你(jiā)信息安全保護等級專家(jiā)評審委員會(hu音友ì)評審。 

第十一條 信息系統的安全保護等級确定後，運營、使用單位應當按照國家鐵新(jiā)信息安全等級保護管理規範和技術标準，使用符合國家(jiā)有日藍關規定，滿足信息系統安全保護等級需求的信息技術産品，開(kā暗多i)展信息系統安全建設或者改建工(gōng)我南作。 

第十二條 在信息系統建設過程中，運營、使用單位應當按照《計算機信息系統志讀安全保護等級劃分準則》（GB17859-1999）、《信息也小系統安全等級保護基本要求》等技術标準，參照《信息安全技熱國術 信息系統通(tōng)用安全技術要求》（GB間就/T20271-2006）、《信息安全技術 網絡基礎安全技術也湖要求》（GB/T20270-2006）、《信的畫息安全技術 操作系統安全技術要求》（GB/T20272-2006）、《市服信息安全技術 數據庫管理系統安全技術要求》（GB/T20273-2006）資白、《信息安全技術 服務器(qì)技術要求》、《信息安日店全技術 終端計算機系統安全等級技術要求》（GA為煙/T671-2006）等技術标準同步建設符的腦合該等級要求的信息安全設施。 

第十三條 運營、使用單位應當參照《信息安全技術 船紙信息系統安全管理要求》（GB/T20269-2006）、《信息安全技術 信息系為窗統安全工(gōng)程管理要求》（GB/T20282-2006）、《信信船息系統安全等級保護基本要求》等管理規範，制民雪定并落實符合本系統安全保護等級要求的安全管理制度。 

第十四條 信息系統建設完成後，運營、使用單位或者其主管部門高弟應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技區能術标準，定期對信息系統安全等級狀況開(kāi好道)展等級測評。第三級信息系統應當每年至少東業進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五術訊級信息系統應當依據特殊安全需求進行等級測評。&來煙nbsp;

信息系統運營、使用單位及其主管部門應當定期對信湖刀息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應站刀當每年至少進行一次自查，第四級信息系統應當每半年至少進行動來一次自查，第五級信息系統應當依據特殊安全需求進行自查。 兵不;

經測評或者自查，信息系統安全狀況未達到安全保護路日等級要求的，運營、使用單位應當制定方案進行整改。&nb上小sp;

第十五條 已運營（運行）的第二級以上信息系統，應當在安全事在保護等級确定後30日内，由其運營、使用單位到所在地設區錯謝的市級以上公安機關辦理備案手續。 

新建第二級以上信息系統，應當在投入運行後30日内，由其運營、樂藍使用單位到所在地設區的市級以上公安機關辦數大理備案手續。 

隸屬于中央的在京單位，其跨省或者全國統一一輛聯網運行并由主管部門統一定級的信息系統，高著由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、科妹應用的分支系統，應當向當地設區的市級以上公安從著機關備案。 

第十六條 辦理信息系統安全保護等級備案手續時(shí)，應當填寫《信息系統安全些船等級保護備案表》，第三級以上信息系統應當同時(shí)提供以下材料：&關森nbsp;

（一）系統拓撲結構及說(shuō)明； 

（二）系統安全組織機構和管理制度； 

（三）系統安全保護設施設計實施方案或者改建實施方案； 媽弟

（四）系統使用的信息安全産品清單及其認證、銷售許可證明； 

（五）測評後符合系統安全保護等級的技術檢測船微評估報告； 

（六）信息系統安全保護等級專家(jiā)評審意見； 

（七）主管部門審核批準信息系統安全保護等級的意見。 

第十七條 信息系統備案後，公安機關應當對信還行息系統的備案情況進行審核，對符合等級保護要求的，應當在收都商到備案材料之日起的10個工(gōng)作日内頒發信息系統安全等要見級保護備案證明；發現不(bù)符合本辦法及有關标準的，應當在收到備案材兒廠料之日起的10個工(gōng)作日内通(tōng)知備案店風單位予以糾正；發現定級不(bù)準的，應當在收到備案材料之日起的10個工(數匠gōng)作日内通(tōng)知備案單位重新審核确定。 

運營、使用單位或者主管部門重新确定信息系統等級後，船商應當按照本辦法向公安機關重新備案。  &n現拿bsp;   

第十八條 受理備案的公安機關應當對第三級、第大暗四級信息系統的運營、使用單位的信息安全等事門級保護工(gōng)作情況進行檢查。對第三級信息系統每年至少聽暗檢查一次，對第四級信息系統每半年至少檢查一次。對跨省或者全國統一個工聯網運行的信息系統的檢查，應當會(huì)師新同其主管部門進行。 

對第五級信息系統，應當由國家(jiā)指定的專門部門進行檢查。 了筆;

公安機關、國家(jiā)指定的專門部門應當對作遠下列事項進行檢查： 

（一） 信息系統安全需求是否發生變化，原定保護等級是否準确；&快學nbsp;

（二） 運營、使用單位安全管理制度、措施的落實情況； 

（三） 運營、使用單位及其主管部門對信息系統安全狀況的檢查情況；&去草nbsp;

（四） 系統安全等級測評是否符合要求； 

（五） 信息安全産品使用是否符合要求； 技厭

（六） 信息系統安全整改情況； 

（七） 備案材料與運營、使用單位、信息系統的符合情況；&他錢nbsp;

（八） 其他(tā)應當進行監督檢查的事項。 

第十九條 信息系統運營、使用單位應當接受公安機又林關、國家(jiā)指定的專門部門的安全監督、檢查、指導，如(r你章ú)實向公安機關、國家(jiā)指定的專門部門提供下列有關信息安全綠海保護的信息資(zī)料及數據文件： 

（一） 信息系統備案事項變更情況； 

（二） 安全組織、人員的變動情況； 

（三） 信息安全管理制度、措施變更情況；&n放飛bsp;

（四） 信息系統運行狀況記錄； 

（五） 運營、使用單位及主管部門定期對信息系統安全狀況行冷的檢查記錄； 

（六） 對信息系統開(kāi)展等級測評的技術測兒電評報告； 

（七） 信息安全産品使用的變更情況；&nbs木又p;

（八） 信息安全事件應急預案，信息安全事件應匠為急處置結果報告； 

（九） 信息系統安全建設、整改結果報告。&n答在bsp;

第二十條 公安機關檢查發現信息系統安全保黃通護狀況不(bù)符合信息安全等級保護有關音件管理規範和技術标準的，應當向運營、使用單位發出整改通(tōng)知。有船運營、使用單位應當根據整改通(tōng)知要東樹求，按照管理規範和技術标準進行整改。整改完成後機廠，應當将整改報告向公安機關備案。必要時(shí)，理媽公安機關可以對整改情況組織檢查。 

第二十一條 第三級以上信息系統應當選擇使用符合以下機水條件的信息安全産品： 

（一）産品研制、生産單位是由中國公民、法人投資(zī)或者國家冷睡(jiā)投資(zī)或者控股的，在中華人民共和國境内具有獨立的了路法人資(zī)格； 

（二）産品的核心技術、關鍵部件具有我國自主知識産權； 

（三）産品研制、生産單位及其主要業務、技術人員無犯罪記錄； 

（四）産品研制、生産單位聲明沒有故意留有或者設置漏洞、後門、木(mù日紅)馬等程序和功能； 

（五）對國家(jiā)安全、社會(huì)秩序、公共利益不(bù)構成危害林小； 

（六）對已列入信息安全産品認證目錄的，應當取光司得(de)國家(jiā)信息安全産品認證機構頒發的認證證書。 

第二十二條 第三級以上信息系統應當選擇符合下列條件的等級保護測評光志機構進行測評： 

（一） 在中華人民共和國境内注冊成立（港澳台地區除外）； 做山

（二） 由中國公民投資(zī)、中國法人投資(zī)或者國家(唱風jiā)投資(zī)的企事業單位（港澳台地區除外）；&會書nbsp;

（三） 從事相關檢測評估工(gōng)作兩年以上，無違法服照記錄； 

（四） 工(gōng)作人員僅限于中國公民； 

（五） 法人及主要業務、技術人員無犯罪記錄； 

（六） 使用的技術裝備、設施應當符合本辦法對信場老息安全産品的要求； 

（七） 具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制討師度； 

（八） 對國家(jiā)安全、社會(huì)秩序、公請煙共利益不(bù)構成威脅。 

第二十三條 從事信息系統安全等級測評的機少船構，應當履行下列義務： 

（一）遵守國家(jiā)有關法律法規和技術标準，提要的供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；&n媽上bsp;

（二）保守在測評活動中知悉的國家(jiā)秘密、商業秘密和個人隐私，防範測評知鐘風險； 

（三）對測評人員進行安全保密教育，與其簽訂安全友如保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并爸鄉負責檢查落實。

第四章 涉及國家(jiā)秘密信息系統的分級保護管理 

第二十四條 涉密信息系統應當依據國家(jiā)信息安全等級保護的基學外本要求，按照國家(jiā)保密工(gōng)作部門有關涉密日舊信息系統分級保護的管理規定和技術标準，結合系統實際情況為們進行保護。 

非涉密信息系統不(bù)得(de)處理國家(jiā)秘密計草信息。 

第二十五條 涉密信息系統按照所處理信息的**密級，由低(dī)到們答高分為(wèi)秘密、機密、絕密三個等級。&nb坐拍sp;

涉密信息系統建設使用單位應當在信息規範定密的基礎上，依據涉密信息系統分級保護管匠湖理辦法和國家(jiā)保密标準BMB17-2006《涉及國家(jiā)秘密的爸謝計算機信息系統分級保護技術要求》确定系統等級。對于包含多個安全域的涉密信息系城唱統，各安全域可以分别确定保護等級。 花機

保密工(gōng)作部門和機構應當監督指導涉密信息系統建設使用我近單位準确、合理地進行系統定級。 姐能;

第二十六條 涉密信息系統建設使用單位應當将涉密議朋信息系統定級和建設使用情況，及時(shí)上報業務看書主管部門的保密工(gōng)作機構和負責系統審批的保森腦密工(gōng)作部門備案，并接受保密部門的監督、檢查、指導。 理喝

第二十七條 涉密信息系統建設使用單位應當選擇具有弟這涉密集成資(zī)質的單位承擔或者參與涉密信息系統的設計與實施。&民路nbsp;

涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理拍呢規範和技術标準，按照秘密、機密、絕密三級的不(bù)裡腦同要求，結合系統實際進行方案設計，實施分級保護，其保護水平總體上不(暗森bù)低(dī)于國家(jiā)信息安全等級保護第三級、第四白民級、第五級的水平。 

第二十八條 涉密信息系統使用的信息安全保密産品原則上應當選用國産品，并遠跳應當通(tōng)過國家(jiā)保密局授權的檢測機構依據有關國綠生家(jiā)保密标準進行的檢測，通(tōng樂靜)過檢測的産品由國家(jiā)保密局審核發布目錄。 

第二十九條 涉密信息系統建設使用單位在系統工(gōng)這身程實施結束後，應當向保密工(gōng)作部門提出申請，由民飛國家(jiā)保密局授權的系統測評機構依據國家(jiā)保密綠一标準BMB22-2007《涉及國家(jiā)秘密的計算機信遠這息系統分級保護測評指南》，對涉密信息系統進行安全保密測評。技分 

涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家(jiā)秘大視密的信息系統審批管理規定》，向設區的市級以上保密工(gōng)作部門申請進行東拿系統審批，涉密信息系統通(tōng)過審批後方可投入使他兵用。已投入使用的涉密信息系統，其建設使用單位冷去在按照分級保護要求完成系統整改後，應當向保密工一朋(gōng)作部門備案。 

第三十條 涉密信息系統建設使用單位在申請系統審批或者備案時(shí)，匠這應當提交以下材料： 

（一）系統設計、實施方案及審查論證意見；&nb這相sp;

（二）系統承建單位資(zī)質證明材料； 

（三）系統建設和工(gōng)程監理情況報告； 

（四）系統安全保密檢測評估報告； 

（五）系統安全保密組織機構和管理制度情況學湖； 

（六）其他(tā)有關材料。 

第三十一條 涉密信息系統發生涉密等級、連接範圍、環境設施、主要應用、安全間麗保密管理責任單位變更時(shí)，其建設使用單舞火位應當及時(shí)向負責審批的保密工(gōng)作部門報告。保密工(gōn從計g)作部門應當根據實際情況，決定是否對其重農森新進行測評和審批。 

第三十二條 涉密信息系統建設使用單位應當依商愛據國家(jiā)保密标準BMB20-20銀聽07《涉及國家(jiā)秘密的信息系統分級保護管理規範》，加強涉密信息系看綠統運行中的保密管理，定期進行風險評估，******洩密隐患和漏洞。好黃 

第三十三條 國家(jiā)和地方各級保密工電姐(gōng)作部門依法對各地區、各部門涉密信息系統分業我級保護工(gōng)作實施監督管理，并做好(hǎo)以下工北樂(gōng)作： 

（一）指導、監督和檢查分級保護工(gōng)作的開(kāi)展我黑； 

（二）指導涉密信息系統建設使用單位規範信息定密，合理确定系統保護等級一離； 

（三）參與涉密信息系統分級保護方案論證，指導建設使用單位做好(h風車ǎo)保密設施的同步規劃設計； 

（四）依法對涉密信息系統集成資(zī)質單位進行監督管理；&nb都鐘sp;

（五）嚴格進行系統測評和審批工(gōng)作，監督檢查涉房吧密信息系統建設使用單位分級保護管理制度和技術措施的暗飛落實情況； 

（六）加強涉密信息系統運行中的保密監督檢查舊這。對秘密級、機密級信息系統每兩年至少進行一次保密檢市船查或者系統測評，對絕密級信息系統每年至少進行一次答為保密檢查或者系統測評； 

（七）了解掌握各級各類涉密信息系統的管理使用情況，及時(shí)發現和查處各錢關種違規違法行為(wèi)和洩密事件。

 第五章 信息安全等級保護的密碼管理&長南nbsp;

第三十四條 國家(jiā)密碼管理部門對信息安全等級保護的密碼要刀實行分類分級管理。根據被保護對象在國家(jiā)我玩安全、社會(huì)穩定、經濟建設中的作用和重要程度，被保護對象的安全防體員護要求和涉密程度，被保護對象被破壞後的危害程度以及密碼使用部門的性質等，匠吧确定密碼的等級保護準則。 

信息系統運營、使用單位采用密碼進行等級保護的，應當遵照《信海海息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》票家等密碼管理規定和相關标準。 

第三十五條 信息系統安全等級保護中密碼的配備、使校商用和管理等，應當嚴格執行國家(jiā)密碼管理的有關規定。 

第三十六條 信息系統運營、使用單位應當充分運用密碼技術對信息系統進算機行保護。采用密碼對涉及國家(jiā)秘密的信息和信息系統為街進行保護的，應報經國家(jiā)密碼管理局審批，還拿密碼的設計、實施、使用、運行維護和日常管理等，應當按票見照國家(jiā)密碼管理有關規定和相關标準執行；采用密碼對不(對商bù)涉及國家(jiā)秘密的信息和信息系統進行保護的，須遵守《商用密年照碼管理條例》和密碼分類分級保護有關規定與相關标準，其密碼的配備使用情況應森我當向國家(jiā)密碼管理機構備案。 

第三十七條 運用密碼技術對信息系統進行系統等級請家保護建設和整改的，必須采用經國家(jiā紅光)密碼管理部門批準使用或者準于銷售的密碼産品進行安全保看好護，不(bù)得(de)采用國外引進或者擅自研制的密碼還做産品；未經批準不(bù)得(de)采用含有加密功能的進口信息技城離術産品。 

第三十八條 信息系統中的密碼及密碼設備的器冷測評工(gōng)作由國家(jiā)密碼管理局認可的測評機構承擔，其他(tā南爸)任何部門、單位和個人不(bù)得(de月厭)對密碼進行評測和監控。 

第三十九條 各級密碼管理部門可以定期或者不地日(bù)定期對信息系統等級保護工(gōng)作市暗中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的如影密碼配備、使用和管理情況每兩年至少進行一次檢查和測和我評。在監督檢查過程中，發現存在安全隐患或者違反密碼管理相關規定或者未達到密碼你師相關标準要求的，應當按照國家(jiā)密碼管理的相關規定進行處置。&nbs麗遠p;

第六章 法律責任 

第四十條 第三級以上信息系統運營、使用單位違反本辦女現法規定，有下列行為(wèi)之一的，由公安資如機關、國家(jiā)保密工(gōng)作部門和國家(jiā)密碼工(gō書歌ng)作管理部門按照職責分工(gōng)責令其限少樂期改正；逾期不(bù)改正的，給予警告，并向其上級主管部門通(tōng)報到化情況，建議對其直接負責的主管人員和其他(tā)直接責任人員予現樂以處理，并及時(shí)反饋處理結果： 

（一） 未按本辦法規定備案、審批的； 

（二） 未按本辦法規定落實安全管理制度、措施的；&nb要放sp;

（三） 未按本辦法規定開(kāi)展系統安全狀況檢查的；&nbs哥木p;

（四） 未按本辦法規定開(kāi)展系統安全技術測評的；&n空區bsp;

（五） 接到整改通(tōng)知後，拒不(bù輛路)整改的； 

（六） 未按本辦法規定選擇使用信息安全産品和測評機構的； 樹醫;

（七） 未按本辦法規定如(rú)實提供有關文件討可和證明材料的； 

（八） 違反保密管理規定的； 

（九） 違反密碼管理規定的； 

（十） 違反本辦法其他(tā)規定的。 

違反前款規定，造成嚴重損害的，由相關部門還東依照有關法律、法規予以處理。 

第四十一條 信息安全監管部門及其工(gōng)作人員在履行監督管理職責中，玩忽雨要職守、濫用職權、徇私舞弊的，依法給予行政處分；構醫就成犯罪的，依法追究刑事責任。 

第七章 附則 

第四十二條 已運行信息系統的運營、使用單位自本辦但畫法施行之日起180日内确定信息系統的安全保護等級；新建信息系統在設計、規新個劃階段确定安全保護等級。 

第四十三條 本辦法所稱“以上”包含本數（級）。

第四十四條 本辦法自發布之日起施行，《信息安全等級保書影護管理辦法（試行）》（公通(tōng)字[2006]7号）同時(shí)的農廢止。