《信息安全等級保護管理辦法》

各省、自治區(qū)、直轄市公安廳（局）、保密局、國家密碼管理局

（國家密碼管理委員會辦公室）、信息化領(lǐng)導(dǎo)小組辦公室，XX生產(chǎn)建

設(shè)兵團公安局、保密局、國家密碼管理局、信息化領(lǐng)導(dǎo)小組辦公室，

中央和國家機關(guān)各部委保密委員會辦公室、密碼工作領(lǐng)導(dǎo)小組辦公

室、信息化領(lǐng)導(dǎo)小組辦公室，各人民團體保密委員會辦公室：

為加快推進信息安全等級保護，規(guī)范信息安全等級保護管理，提

高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，

保障和促進信息化建設(shè)，公安部、國家保密局、國家密碼管理局、國

務(wù)院信息化工作辦公室制定了《信息安全等級保護管理辦法》?，F(xiàn)印

發(fā)給你們，請認真貫徹執(zhí)行。

公

安

部

國家保密局國家密碼管理局

國務(wù)院信息工作辦公室

XX年六月二十二日

第一章總則

第一條為規(guī)范信息安全等級保護管理，提高信息安全保障能力和

水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè),

根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法

規(guī)，制定本辦法。

第二條國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)

標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，

對等級保護工作的實施進行監(jiān)督、管理。

第三條公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。

國家保密工作部門負責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、

指導(dǎo)。國家密碼管理部門負責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、

檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依

照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信

息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作的部門間協(xié)調(diào)。

第四條信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督

促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位

的信息安全等級保護工作。

第五條信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)

規(guī)范，履行信息安全等級保護的義務(wù)和責(zé)任。

第二章等級劃分與保護

2第六條國家信息安全等級保護堅持自主定級、自主保護的原則。

信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、

社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、

公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確

定。

第七條信息系統(tǒng)的安全保護等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合

法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合

法權(quán)益產(chǎn)生嚴(yán)重損害，或者對社會秩序和公共利益造成損害，但不損

害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)

重損害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特

別嚴(yán)重損害，或者對國家安全造成嚴(yán)重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重損害。

第八條信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系

統(tǒng)進行保護，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作

進行監(jiān)督管理。

第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技

術(shù)標(biāo)準(zhǔn)進行保護。第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)

管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系

統(tǒng)信息安全等級保護工作進行指導(dǎo)。

第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技

術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等

級保護工作進行監(jiān)督、檢查。

第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技

術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息

系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。

第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)

準(zhǔn)和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)

信息安全等級保護工作進行專門監(jiān)督、檢查。

第三章等級保護的實施與管理

第九條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保

護實施指南》

3具體實施等級保護工作。

第十條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安

全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,

應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確

定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單

位或者主管部門應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審。

第十一條信息系統(tǒng)的安全保護等級確定后，運營、使用單位應(yīng)當(dāng)

按照國家信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)

規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系

統(tǒng)安全建設(shè)或者改建工作。

第十二條在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當(dāng)按照《計

算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(gbl7859-xx)、《信息系統(tǒng)安全

等級保護基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用

安全技術(shù)要求》(gb/t20271-xx)、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要

求》(gb/t20270-xx)、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》

(gb/t20272-xx),《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》

(gb/t20273-xx).《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)

終端計算機系統(tǒng)安全等級技術(shù)要求》(ga/t671-xx)等技術(shù)標(biāo)準(zhǔn)同步建

設(shè)符合該等級要求的信息安全設(shè)施。

第十三條運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全

管理要求》(gb/t20269-xx)、《信息安全技術(shù)信息系統(tǒng)安全工程管理要

求》(gb/t20282-xx),《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,

制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。

第十四條信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門

應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級

保護測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級

測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，第四級信息

系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特

殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全

狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)

當(dāng)每年至少進行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次

自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行自查。

4經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求

的，運營、使用單位應(yīng)當(dāng)制定方案進行整改。

第十五條已運營(運行)的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保

護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以

上公安機關(guān)辦理備案手續(xù)。

新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運

營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管

部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡?/p>

或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)

當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。

第十六條辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當(dāng)填寫《信

息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以

下材料：

（一）系統(tǒng)拓撲結(jié)構(gòu)及說明；

（二）系統(tǒng)安全組織機構(gòu)和管理制度；

（三）系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

（五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；

（六）信息系統(tǒng)安全保護等級專家評審意見；

（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。

第十七條信息系統(tǒng)備案后，公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況

進行審核，對符合等級保護要求的，應(yīng)當(dāng)在收到備案材料之日起的

10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本

辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通

知備案單位予以糾正；發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起

的10個工作日內(nèi)通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按

照本辦法向公安機關(guān)重新備案。

第十八條受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的

運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信

息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。

對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管部

門進行。

對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進行檢查。

5公安機關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進行檢查：

（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準(zhǔn)確;

（二）運營、使用單位安全管理制度、措施的落實情況；

（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查

情況；

（四）系統(tǒng)安全等級測評是否符合要求；

（五）信息安全產(chǎn)品使用是否符合要求；

（六）信息系統(tǒng)安全整改情況；

（七）備案材料與運營、使用單位、信息系統(tǒng)的符合情況；

（八）其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。

第十九條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定

的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指定的

專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件：

（一）信息系統(tǒng)備案事項變更情況；

（二）安全組織、人員的變動情況；

（三）信息安全管理制度、措施變更情況；

（四）信息系統(tǒng)運行狀況記錄；

（五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢

查記錄；

（六）對信息系統(tǒng)開展等級測評的技術(shù)測評報告；

（七）信息安全產(chǎn)品使用的變更情況；

（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告;

（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。

第二十條公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息

安全等級保護有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的：應(yīng)當(dāng)向運營、使用單位發(fā)

出整改通知。運營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范

和技術(shù)標(biāo)準(zhǔn)進行整改。整改完成后，應(yīng)當(dāng)將整改報告向公安機關(guān)備案。

必要時，公安機關(guān)可以對整改情況組織檢查。

第二十一條第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的

信息安全產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投

資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；

（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后

門、木馬等程序和功能;

（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；

（六）對已列入信息安全產(chǎn)品認證目錄的，應(yīng)當(dāng)取得國家信息安

全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。

第二十二條第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級

保護測評機構(gòu)進行測評：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單

位（港澳臺地區(qū)除外）；

（三）

（四）

（五）從事相關(guān)檢測評估工作兩年以上，無違法記錄；工作人員

僅限于中國公民；

法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的

要求；

（七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和

培訓(xùn)教育等安全管理制度；

（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。

第二十三條從事信息系統(tǒng)安全等級測評的機構(gòu)，應(yīng)當(dāng)履行下列義

務(wù)：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公

正的檢測評估服務(wù)，保證測評的質(zhì)量和效果;

（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,

防范測評風(fēng)險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責(zé)任書,

規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負責(zé)檢查落實。

第四章涉及國家秘密信息系統(tǒng)的分級保護管理

第二十四條涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基

本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)

定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實際情況進行保護。

非涉密信息系統(tǒng)不得處理國家秘密信息。

第二十五條涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高

分為秘密、機

7密、絕密三個等級。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)

涉密信息系統(tǒng)分級保護管理辦法和國家保密標(biāo)準(zhǔn)bmbl7-xx《涉及國

家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包

含多個安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護等級。

保密工作部門和機構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位

準(zhǔn)確、合理地進行系統(tǒng)定級。

第二十六條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定

級和建設(shè)使用情況，及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責(zé)系

統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。

第二十七條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成

資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護管

理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機密、絕密三級的不同要求，結(jié)合系

統(tǒng)實際進行方案設(shè)計，實施分級保護，其保護水平總體上不低于國家

信息安全等級保護第三級、第四級、第五級的水平。

第二十八條涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)

選用國產(chǎn)品，并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保

密標(biāo)準(zhǔn)進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條涉密信息系統(tǒng)建設(shè)使用單，立在系統(tǒng)工程實施結(jié)束后，

應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依

據(jù)國家保密標(biāo)準(zhǔn)bmb22-xx《涉及國家秘密的計算機信息系統(tǒng)分級保

護測評指南》，對涉密信息系統(tǒng)進行安全保密測評。

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及

國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級以上保密工作部

門申請進行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投

入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級保護要求完成系

統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。

第三十條涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案

時，應(yīng)當(dāng)提交以下材料：

(-)系統(tǒng)設(shè)計、實施方案及審查論證意見;

(二)系統(tǒng)承建單位資質(zhì)證明材料?；

（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報告；

（四）系統(tǒng)安全保密檢測評估報告；

（五）系統(tǒng)安全保密組織機構(gòu)和管理制度情況；

（六）其他有關(guān)材料。

第三十一條涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、

主要應(yīng)用、安全保密管理責(zé)任單位變更時，其建設(shè)使用單位應(yīng)當(dāng)及時

向負責(zé)審批的保密工作部門報告。保密工作部門應(yīng)當(dāng)根據(jù)實際情況，

決定是否對其重新進行測評和審批。

第三十二條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)

bmb20-xx《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密

信息系統(tǒng)運行中的保密管理，定期進行風(fēng)險評估，消除泄密隱患和漏

洞。

第三十三條國家和地方各級保密工作部門依法對各地區(qū)、各部門

涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理，并做好以下工作：

（一）指導(dǎo)、監(jiān)督和檢查分級保護工作的開展；

（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定

系統(tǒng)保護等級；

（三）參與涉密信息系統(tǒng)分級保護方案論證，指導(dǎo)建設(shè)使用單位

做好保密設(shè)施的同步規(guī)劃設(shè)計；

（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理；

（五）嚴(yán)格進行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建

設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況;

（六）加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機

密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評，對絕密級

信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評；

（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時發(fā)

現(xiàn)和查處各種違規(guī)違法行為和泄密事件。

第五章信息安全等級保護的密碼管理

第三十四條國家密碼管理部門對信息安全等級保護的密碼實行

分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中

的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護

對象被破壞后的危害程度以及密碼使用部門的性

9質(zhì)等，確定密碼的等級保護準(zhǔn)則。

信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應(yīng)當(dāng)遵照《信

息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要

求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。

第三十五條信息系統(tǒng)安全等級保護中密碼的配備、使用和管理

等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。

第三十六條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)充分運用密碼技術(shù)對信

息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保

護的，應(yīng)報經(jīng)國家密碼管理局審批，密碼的設(shè)計、實施、使用、運行

維護和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)

行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的，須遵

守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，

其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機構(gòu)備案。

第三十七條

運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的，必須

采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進行安

全保護，不得采用國外引進或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得

采用含有加密功能的進口信息技術(shù)產(chǎn)品。

第三十八條

信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認

可的測評機構(gòu)承擔(dān)，其他任何部門、單位和個人不得對密碼進行評測

和監(jiān)控。

第三十九條各級密碼管理部門可以定期或者不定期對信息系統(tǒng)

等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重

要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢

查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理

相關(guān)規(guī)定或者未達到密碼相關(guān)標(biāo)準(zhǔn)要求的,.應(yīng)當(dāng)按照國家密碼管理的

相關(guān)規(guī)定進行處置。

第六章法律責(zé)任

第四十條第三級以上信息系統(tǒng)運營、使用單位違反木辦法規(guī)定，

有下列行為之一的，由公安機關(guān)、國家保密工作部門和國家密碼工作

管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，

并向其上級主管部門通報情況，建議對其直接負責(zé)的主管人員和其他

直接責(zé)任人員予以處理，并及時反饋處理結(jié)果：

（一）未按本辦法規(guī)定備案、審批的：

（二）未按本辦法規(guī)定落實安全管理制度、措施的；

（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；

（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的；

（五）接到整改通知后，拒不整改的：

（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的；

（七）未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的；

（A）違反保密管理規(guī)定的；

（九）違反密碼管理規(guī)定的；

（十）違反本辦法其他規(guī)定的。

違反前款規(guī)定，造成嚴(yán)重損害的，由相關(guān)部門依照有關(guān)法律、法

規(guī)予以處理。

第四十一條信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職

責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成

犯罪的，依法追究刑事責(zé)任。

第七章附則

第四十二條已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日

起180日內(nèi)確定信息系統(tǒng)的安全保護等級：新建信息系統(tǒng)在設(shè)計、規(guī)

劃階段確定安全保護等級。

第四十三條本辦法所稱“以上”包含本數(shù)（級）。

第四十四條本辦法自發(fā)布之日起施行，《信息安全等級保護管理

辦法（試行）》（公通字[xx]7號）同時廢止。

第二篇：信息安全等級保護管理辦法（精）第一章

總則

第一條為規(guī)范信息安全等級保護管理，提高信息安全保障能力和

水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè),

根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法

規(guī)，制定本辦法。

第二條國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)

標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，

對等級保護工作的實施進行監(jiān)督、管理。

第三條公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。

國家保密工作部門負責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、

指導(dǎo)。國家密碼管理部門負責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、

檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依

照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信

息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作的部門間協(xié)調(diào)。

第四條信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督

促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位

的信息安全等級保護工作。

第五條信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)

規(guī)范，履行信息安全等級保護的義務(wù)和責(zé)任。

第二章等級劃分與保護

1第六條國家信息安全等級保護堅持自主定級、自主保護的原則O

信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、

社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、

公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確

定。

第七條信息系統(tǒng)的安全保護等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合

法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合

法權(quán)益產(chǎn)生嚴(yán)重損害，或者對社會秩序和公共利益造成損害，但不損

害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)

重損害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特

別嚴(yán)重損害，或者對國家安全造成嚴(yán)重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重損害。

第八條信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信

息系統(tǒng)進行保護，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護

工作進行監(jiān)督管理。

第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理

2規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。

第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技

術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等

級保護工作進行指導(dǎo)。

第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技

術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等

級保護工作進行監(jiān)督、檢查。

第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技

術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息

系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。

第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)

準(zhǔn)和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)

信息安全等級保護工作進行專門監(jiān)督、檢查。

第三章等級保護的實施與管理

第九條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保

護實施指南》具體實施等級保護工作。

第十條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安

全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,

應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部

3門統(tǒng)一確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部

門應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審。

第十一條信息系統(tǒng)的安全保護等級確定后，運營、使用單位應(yīng)當(dāng)

按照國家信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)

規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系

統(tǒng)安全建設(shè)或者改建工作。

第十二條在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當(dāng)按照《計

算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(gbl7859-xx)、《信息系統(tǒng)安全

等級保護基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用

安全技術(shù)要求》(gb/t20271-xx),《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要

求》(gb/t20270-xx)、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》

(gb/t20272-xx),《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》

(gb/t20273-xx),《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)

終端計算機系統(tǒng)安全等級技術(shù)要求》(ga/t671-xx)等技術(shù)標(biāo)準(zhǔn)同步建

設(shè)符合該等級要求的信息安全設(shè)施。

第十三條運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全

管理要求》(gb/t20269-xx),《信息安全技術(shù)信息系統(tǒng)安全工程管理要

求》(gb/t20282-xx)＞《信息系

4統(tǒng)安全等級俁護基本要求》等管理規(guī)范，制定并落實符合本系

統(tǒng)安全保護等級要求的安全管理制度。

第十四條信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門

應(yīng)當(dāng)選擇符合木辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級

保護測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級

測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，第四級信息

系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特

殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全

狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)

當(dāng)每年至少進行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次

自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行自查。

經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求

的，運營、使用單位應(yīng)當(dāng)制定方案進行整改。

第十五條已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保

護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以

上公安機關(guān)辦理備案手續(xù)。

新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運

營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

5隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主

管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？?/p>

省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，

應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。

第十六條辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當(dāng)填寫《信

息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以

下材料：

（一）系統(tǒng)拓撲結(jié)構(gòu)及說明；

（二）系統(tǒng)安全組織機構(gòu)和管理制度；

（三）系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

（五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；

（六）信息系統(tǒng)安全保護等級專家評審意見；

（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。

第十七條信息系統(tǒng)備案后，公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況

進行審核，對符合等級保護要求的，應(yīng)當(dāng)在收到備案材料之日起的

10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保

6護備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備

案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不

準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重

新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按

照本辦法向公安機關(guān)重新備案。

第十八條受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的

運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信

息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。

對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管部

門進行。

對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進行檢查。

公安機關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進行檢查：

（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準(zhǔn)確;

（二）運營、使用單位安全管理制度、措施的落實情況；

（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查

情況;

（四）系統(tǒng)安全等級測評是否符合要求；

（五）信息安全產(chǎn)品使用是否符合要求；

（六）信息系統(tǒng)安全整改情況；

（七）備案材料與運營、使用單位、信息系統(tǒng)的符合情況；

（八）其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。

第十九條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定

的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指定的

專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件：

（一）信息系統(tǒng)備案事項變更情況；

（二）安全組織、人員的變動情況；

（三）信息安全管理制度、措施變更情況；

（四）信息系統(tǒng)運行狀況記錄；

（五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢

查記錄；

（六）對信息系統(tǒng)開展等級測評的技術(shù)測評報告；

（七）信息安全產(chǎn)品使用的變更情況：

（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告;

（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。

第二十條公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息

安全等級保護有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運營、使用單位發(fā)

出整改通知。運營、使用單位應(yīng)當(dāng)根據(jù)整

8改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行整改。整改完成后,

應(yīng)當(dāng)將整改報告向公安機關(guān)備案。必要時，公安機關(guān)可以對整改情況

組織檢查。

第二十一條第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的

信息安全產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投

資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；

（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后

門、木馬等程序和功能；

（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；

（六）對已列入信息安全產(chǎn)品認證目錄的，應(yīng)當(dāng)取得國家信息安

全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。

第二十二條第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級

保護測評機構(gòu)進行測評：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；

（二）由中國公民投資、中國法人投資或者國家投資的

9企事業(yè)單位（港澳臺地區(qū)除外）；

（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的

要求；

（七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和

培訓(xùn)教育等安全管理制度；

（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。

第二十三條從事信息系統(tǒng)安全等級測評的機構(gòu)，應(yīng)當(dāng)履行下列義

務(wù)：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公

正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；

（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,

防范測評風(fēng)險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責(zé)任書,

規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負責(zé)檢查落實。

第四章涉及國家秘密信息系統(tǒng)的分級保護管理

第二十四條涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基

本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)

定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實際情況進行保

10護。

非涉密信息系統(tǒng)不得處理國家秘密信息。

第二十五條涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高

分為秘密、機密、絕密三個等級。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)

涉密信息系統(tǒng)分級保護管理辦法和國家保密標(biāo)準(zhǔn)bmbl7-xx《涉及國

家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包

含多個安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護等級。

保密工作部門和機構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位

準(zhǔn)確、合理地進行系統(tǒng)定級。

第二十六條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定

級和建設(shè)使用情況，及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責(zé)系

統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。

第二十七條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成

資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護管

理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機密、絕密三級的不同要求，結(jié)合系

統(tǒng)實際進行方案設(shè)計，實施分級保護，其保護水平總體上不低于國家

信息安全等級保護第三級、第四

11級、第五級的水平。

第二十八條涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)

選用國產(chǎn)品，并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保

密標(biāo)準(zhǔn)進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后，

應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依

據(jù)國家保密標(biāo)準(zhǔn)bmb22-xx《涉及國家秘密的計算機信息系統(tǒng)分級保

護測評指南》，對涉密信息系統(tǒng)進行安全保密測評。

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及

國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級以上保密工作部

門申請進行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。己投

入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級保護要求完成系

統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。

第三十條涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案

時，應(yīng)當(dāng)提交以下材料：

（一）系統(tǒng)設(shè)計、實施方案及審查論證意見；

（二）系統(tǒng)承建單位資質(zhì)證明材料；

（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報告；

（四）系統(tǒng)安全保密檢測評估報告；

（五）系統(tǒng)安全保密組織機構(gòu)和管理制度情況；

（六）其他有關(guān)材料。

第三十一條涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、

主要應(yīng)用、安全保密管理責(zé)任單位變更時，其建設(shè)使用單位應(yīng)當(dāng)及時

向負責(zé)審批的保密工作部門報告。保密工咋部門應(yīng)當(dāng)根據(jù)實際情況，

決定是否對其重新進行測評和審批。

第三十二條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)

bmb20-xx《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密

信息系統(tǒng)運行中的保密管理，定期進行風(fēng)險評估，消除泄密隱患和漏

洞。

第三十三條國家和地方各級保密工作部門依法對各地區(qū)、各部門

涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理，并做好以下工作：

（一）指導(dǎo)、監(jiān)督和檢查分級保護工作的開展；

（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定

系統(tǒng)保護等級；

（三）參與涉密信息系統(tǒng)分級保護方案論證，指導(dǎo)建設(shè)使用單位

做好保密設(shè)施的同步規(guī)劃設(shè)計；

（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理；

（五）嚴(yán)格進行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信

13息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情

況；

（六）加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機

密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評，對絕密級

信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評；

（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時發(fā)

現(xiàn)和查處各種違規(guī)違法行為和泄密事件。

第五章信息安全等級保護的密碼管理

第三十四條國家密碼管理部門對信息安全等級保護的密碼實行

分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中

的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護

對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等

級保護準(zhǔn)則。

信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應(yīng)當(dāng)遵照《信

息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要

求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。

第三十五條信息系統(tǒng)安全等級保護中密碼的配備、使用和管理

等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。

第三十六條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)充分運用密碼技術(shù)對信

息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保

護的，應(yīng)報經(jīng)國家密碼管理局審批，密

14碼的設(shè)計、實施、使用、運行維護和日常管理等，應(yīng)當(dāng)按照

國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對不涉及國家秘密

的信息和信息系統(tǒng)進行保護的，須遵守《商用密碼管理條例》和密碼

分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國

家密碼管理機構(gòu)備案。

第三十七條

運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的，必須

采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進行安

全保護，不得采用國外引進或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得

采用含有加密功能的進口信息技術(shù)產(chǎn)品。

第三十八條

信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認

可的測評機構(gòu)承擔(dān)，其他任何部門、單位和個人不得對密碼進行評測

和監(jiān)控。

第三十九條各級密碼管理部門可以定期或者不定期對信息系統(tǒng)

等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重

要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢

查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理

相關(guān)規(guī)定或者未達到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國家密碼管理的

相關(guān)規(guī)定進行處置。

第六章法律責(zé)任

第四十條第三級以上信息系統(tǒng)運營、使用單位違反本

15辦法規(guī)定，有下列行為之一的，由公安機關(guān)、國家保密工作

部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不

改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負

責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時反饋處理結(jié)果：

（一）未按本辦法規(guī)定備案、審批的：

（二）未按本辦法規(guī)定落實安全管理制度、措施的；

（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；

（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的；

（五）接到整改通知后，拒不整改的：

（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的；

（七）未按木辦法規(guī)定如實提供有關(guān)文件和證明材料的；

（八）違反保密管理規(guī)定的；

（九）違反密碼管理規(guī)定的；

（+）違反本辦法其他規(guī)定的。

違反前款規(guī)定，造成嚴(yán)重損害的，由相關(guān)部門依照有關(guān)法律、法

規(guī)予以處理。

第四十一條信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職

責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成

犯罪的，依法追究刑事責(zé)任。

第七章附則

第四十二條已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日

起180日內(nèi)確定信息系統(tǒng)的安全保護等級：新建信息系統(tǒng)在設(shè)計、規(guī)

劃階段確定安全保護等級。

第四十三條本辦法所稱“以上”包含本數(shù)（級）。第四十四條本

辦法自發(fā)布之日起施行，《信息安全等級保護管理辦法（試行）》（公

通字[xx]7號）同時廢止。

第三篇：安全等級保護管理辦法安全等級保護管理辦法

為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，

維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，根據(jù)

《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)制

定以下辦法：

第1條網(wǎng)絡(luò)安全策略管理由安全保密管理員專職負責(zé)，未經(jīng)允許

任何人不得進行此項操作。

第2條根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)干要求及主機審計系統(tǒng)數(shù)據(jù)

的分析結(jié)果，制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略,

并做記錄。

第3條根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪

除網(wǎng)絡(luò)安全評估分析系統(tǒng)的各項管理策略，并做記錄。

第4條根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪

除入侵檢測系統(tǒng)的各項管理策略，并做記錄。

第5條根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪

除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略，并做記錄。

第6條每周對網(wǎng)絡(luò)信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份，并作詳

細記錄。第7條網(wǎng)絡(luò)信息安全技術(shù)防護系統(tǒng)（主機審計系統(tǒng)、漏洞掃

描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)）由網(wǎng)絡(luò)安全保

密管理員統(tǒng)一負責(zé)安裝和卸載。

第8條網(wǎng)絡(luò)信息系統(tǒng)安全檢查由安全保密管理員專職負責(zé)執(zhí)行，

未經(jīng)允許任何人不得進行此項操作。

第9條每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志，

檢查是否有網(wǎng)絡(luò)攻擊、異常操作、不正常數(shù)據(jù)流量等，對異常情況做

及時處理，遇有重大安全問題上報保密局，并做詳細記錄。

第10條每周登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站，下載最新升級文件包,

對系統(tǒng)進行更新，并做詳細記錄。

第11條每月通過漏洞掃描系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)終端進行安全評估分

析，并對掃描結(jié)果進行分析，及時對終端系統(tǒng)漏洞及安全隱患進行處

理，作詳細記錄，并將安全評估分析報告上報保密辦。

第12條每周登錄全評估產(chǎn)品網(wǎng)站，下載最新升級文件包，對系

統(tǒng)進行更新，并作詳細記錄。

第13條每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息，并

作詳細記錄。第14條涉密計算機安全管理由安全保密管理員專人負

責(zé)，未經(jīng)允許任何人不得進行此項操作。

第15條根據(jù)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計要求制定、修改、刪除涉密計算

機安全審計策略，包括打印控制策略、外設(shè)輸入輸出控制策略、應(yīng)用

程序控制策略，并做記錄。

第16條每日對涉密計算機進行安全審計，及時處理安全問題，

并做詳細記錄，遇有重大問題上報保密部門。

第17條涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批，審

批通過后由安全保密管理員統(tǒng)一進行操作，并做詳細記錄。

第18條新增涉密計算機聯(lián)入涉密網(wǎng)絡(luò)，需經(jīng)保密局審批，由安

全保密管理員統(tǒng)一進行操作，并做詳細記錄。

第四篇：公安部頒布《信息安全等級保護管理辦法（試行）》公

安部頒布《信息安全等級保護管理辦法（拭行）》

第一章總則

第一條為加強信息安全等級保護，規(guī)范信息安全等級保護管理，

提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益,

保障和促進信息化

建設(shè)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等

國家有關(guān)法律法規(guī)，制定本辦法。

第二條信息安全等級保護，是指對國家秘密信息及公民、法人和

其他組織的專有信息以及公開信息和存儲、傳輸、處理這些信息的信

息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行

按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

第三條信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息和信息系統(tǒng)在國

家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息和信息系統(tǒng)遭到破

壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的

合法權(quán)益的危害程度，信息和信息系統(tǒng)應(yīng)當(dāng)達到的基本的安全保護水

平等因素確定。

第四條信息系統(tǒng)的安全保護等級分為以下五級：

（一）第一級為自主保護級，適用于一般的信息系統(tǒng)，其受到破

壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國

家安全、社會秩序和公共利益。

（二）第二級為指導(dǎo)保護級，適用于一般的信息系統(tǒng)，其受到破

壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全。

（三）第三級為監(jiān)督保護級，適用于涉及國家安全、社會秩序和

公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序

和公共利益造成損害。

（四）第四級為強制保護級，適用于涉及國家安全、社會秩序和

公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序

和公共利益造成嚴(yán)重損害。

（五）第五級為?？乇Ｗo級，適用于涉及國家安全、社會秩序和

公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安

全、社會秩序和公共利益造成特別嚴(yán)重損害。

第五條信息系統(tǒng)，運營、使用單位及個人依據(jù)本辦法和相關(guān)技術(shù)

標(biāo)準(zhǔn)對信息系統(tǒng)進行保護，國家有關(guān)信息安全職能部門對其信息安全

等級保護工作進行監(jiān)督管理。

（一）第一級信息系統(tǒng)運營、使用單位或者個人可以依據(jù)國家管

理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。

（二）第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和

技術(shù)標(biāo)準(zhǔn)進行保護。必要時，國家有關(guān)信息安全職能部門可以對其信

息安全等級保護工作進行指導(dǎo)。

（三）第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和

技術(shù)標(biāo)準(zhǔn)進行保護，國家有關(guān)信息安全職能部門對其信息安全等級保

護工作進行監(jiān)督、檢查。

（四）第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和

技術(shù)標(biāo)準(zhǔn)進行保護，國家有關(guān)信息安全職能部門對其信息安全等級保

護工作進行強制監(jiān)督、檢查。

（五）第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和

技術(shù)標(biāo)準(zhǔn)進行保護，國家指定的專門部門或者專門機構(gòu)對其信息安全

等級保護工作進行專門監(jiān)督、檢查。

第六條公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。

國家保密工作部門負責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、

指導(dǎo)。國家密碼管理部門負責(zé)等級保護工作中有關(guān)密碼;工作的監(jiān)督、

檢查、指導(dǎo)。

涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依照國家法

律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工倫辦公室及地方信息化領(lǐng)導(dǎo)

小組辦事機構(gòu)負責(zé)等級保護工作的部門問辦調(diào)。

第五篇：《信息安全等級保護測評機構(gòu)管理辦法》最新信息安全

等級保護測評機構(gòu)管理辦法

第一條為加強信息安全等級保護測評機構(gòu)管理，規(guī)范等級測評行

為，提高測評技術(shù)能力和服務(wù)水平，根據(jù)《信息安全等級保護管理辦

法》等有關(guān)規(guī)定，制定本辦法。

第二條等級測評工作，是指等級測評機構(gòu)依據(jù)國家信息安全等級

保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密信

息系統(tǒng)安全等級保護狀況進行檢測評估的活動。

等級測評機構(gòu)，是指依據(jù)國家信息安全等級保護制度規(guī)定，具備

本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級測評等信息安全服務(wù)

的機構(gòu)。

第三條等級測評機構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安

全規(guī)范的方針，按照“誰推薦、誰負責(zé)，詫審核、誰負責(zé)”的原則有

序開展。

第四條等級測評機構(gòu)應(yīng)以提供等級測評服務(wù)為主，可根據(jù)信息系

統(tǒng)運營使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全

運維、安全監(jiān)理等服務(wù)。

第五條國家信息安全等級保護工作協(xié)調(diào)小組辦公室（以下簡稱

“國家等保辦”）負責(zé)受理隸屬國家信息安全職能部門和重點行業(yè)主

管部門申請單位提出的申請，并對其推薦

1的等級測評機構(gòu)進行監(jiān)督管理。

省級信息安全等級保護工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室（以下簡稱

“省級等保辦”）負責(zé)受理本?。▍^(qū)、直轄市）申請單位提出的申請,

并對其推薦的等級測評機構(gòu)進行監(jiān)督管理。

第六條申請成為等級測評機構(gòu)的單位（以下簡稱“申請單位”）

應(yīng)具備以下基本條件：

（一）在中華人民共和國境內(nèi)注冊成立，由中國公民、法人投資

或者國家投資的企事業(yè)單位；

（二）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；

（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無違法記錄；

（四）測評人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯

罪記錄；

（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗的技術(shù)人員，不少于10

人；

（六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)

施應(yīng)滿足測評工作需求；

（七）具有完備的安全保密管理、項目管理、質(zhì)量管理、人員管

理和培訓(xùn)教育等規(guī)章制度；

（八）自覺接受等保辦的監(jiān)督、檢查和指導(dǎo)，對國家安全、社會

秩序、公共利益不構(gòu)成威脅；

（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全

2集成等業(yè)務(wù)；

（+）應(yīng)具備的其他條件。

第七條申請時，申請單位應(yīng)向等保辦美交以下材料:

（一）《信息安全等級保護測評機構(gòu)申請表》；

（二）從事信息系統(tǒng)安全相關(guān)工作情況；

（三）檢測評估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況；

（四）有關(guān)管理制度建設(shè)情況；

（五）申請單位及其測評人員基本情況；

（六）應(yīng)提交的其他材料。

等保辦收到申請材料后，應(yīng)在10個工作日內(nèi)組織初審，并出具

初審結(jié)果告知書。

第八條通過初審的申請單位，應(yīng)及時參加指定評估機構(gòu)組織的測

評人員培訓(xùn)?？荚嚭细竦娜藛T，取得等級測評師證書。

等級測評師分為初級、中級和高級。申請單位應(yīng)至少有10人獲

得等級測評師證書，其中高級和中級測評師均不得少于1人。

第九條指定評估機構(gòu)應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)范時申請單位開展能力評估，

出具信息安全等級保護測評機構(gòu)能力評估報告，并及時將申請單位能

力評估有關(guān)情況報送等保辦。

第十條等保辦組織專家對通過能力評號的申請單位進

3行審核。審核通過的，頒發(fā)《信息安全等級保護測評機構(gòu)推薦

證書》。

省級等保辦應(yīng)及時將本地等級測評機構(gòu)推薦情況報國家等保辦，

國家等保辦定期發(fā)布公告，在《中國信息安全等級保護網(wǎng)》發(fā)布《全

國信息安全等級保護測評機構(gòu)推薦目錄》。

第十一條下列事項發(fā)生變更時，等級測評機構(gòu)應(yīng)在變更后5個工

作日內(nèi)向等保辦報告。

（一）等級測評機構(gòu)名稱、地址、測評人員和主要負責(zé)人發(fā)生變

更的；

（二）等級測評機構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；