總則 

第 一(yī)條 爲規範信息安全等級保護管理，提離場高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促文錢進信息化建設，根據《中(zhōng)華人民共紅制和國計算機信息系統安全保護條例》等有關法律法規白場，制定本辦法。 

第 二條 國家通過制定統一(yī)的信息安全等級保護管得員理規範和技術标準，組織公民、法人和其他組織對信息系統算輛分(fēn)等級實行安全保護，對等級保護工(gōng)作的山小實施進行監督、管理。 

第 三條 公安機關負責信息安全等級保護工(gōng)作的監督、檢查、指導。業海國家保密工(gōng)作部門負責等級保護工(gōng)作中訊空(zhōng)有關保密工(gōng)作的監督、檢查雜見、指導。國家密碼管理部門負責等級保護工(gōng)作中(z哥制hōng)有關密碼工(gōng)作的監督、檢查、指導。笑南涉及其他職能部門管轄範圍的事項，由有關職能部門依照國說公家法律法規的規定進行管理。國務院信息化工(gōng)作辦公室亮長及地方信息化領導小(xiǎo)組辦事機構負責等級保護工(gōng)作費雪的部門間協調。 

第四條 信息系統主管部門應當依照本辦法及相關标準規範，督司紅促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息計熱安全等級保護工(gōng)作。 

第五條 信息系統的運營、使用單位應當依照舞員本辦法及其相關标準規範，履行信息安全等級保護的義務和責任。&n明廠bsp;

第二章 等級劃分(fēn)與保護 河月

第六條 國家信息安全等級保護堅持自主定級、自主保護的能會原則。信息系統的安全保護等級應當根據信息系統在國家安門刀全、經濟建設、社會生(shēng)活中(zhōng)的重要程度，信息系統報務遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的的舊合法權益的危害程度等因素确定。 

第七條 信息系統的安全保護等級分(fēn)爲數樂以下(xià)五級： 

信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不跳離損害國家安全、社會秩序和公共利益。 

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益産生(shēng照司)嚴重損害，或者對社會秩序和公共利益造成音又損害，但不損害國家安全。 

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國時風家安全造成損害。 

第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特别嚴重損害，或者報區對國家安全造成嚴重損害。 

第五級，信息系統受到破壞後，會對國家安全造成特别嚴重損害。高到 

第八條 信息系統運營、使用單位依據本辦法和相關技術标準對信息系統進行保護，畫朋國家有關信息安全監管部門對其信息安全等級保護工(gōng)作進行監督藍師管理。 

信息系統運營、使用單位應當依據國家有關管理規範和技術标準進行保護。 玩村

第二級信息系統運營、使用單位應當依據國家有關管理規範和技術标準進西房行保護。國家信息安全監管部門對該級信息系統信息火數安全等級保護工(gōng)作進行指導。 

第三級信息系統運營、使用單位應當依據國家有關管理規範和他山技術标準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工唱厭(gōng)作進行監督、檢查。 

第四級信息系統運營、使用單位應當依據國家有關管理規範、技術标準和業務專門需腦飛求進行保護。國家信息安全監管部門對該級信息系統信息會爸安全等級保護工(gōng)作進行強制監督、檢路動查。 

第五級信息系統運營、使用單位應當依據國家管理規範、技術标準和業務特計慢殊安全需求進行保護。國家指定專門部門對該級信息系統信花匠息安全等級保護工(gōng)作進行專門監督、檢議看查。

第三章 等級保護的實施與管理 

第九條 信息系統運營、使用單位應當按照《信息系統安全等級保護實裡匠施指南(nán)》具體(tǐ)實施等級保護工(gō遠窗ng)作。 

第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安拿看全等級保護定級指南(nán)》确定信息系統的安全保護等級。有主管部門的，應當林裡經主管部門審核批準。 

跨省或者全國統一(yī)聯網運行的信息系統可林家以由主管部門統一(yī)确定安全保護等級。&nbs土服p;

對拟确定爲第四級以上信息系統的，運營、使用單位或者主管場能部門應當請國家信息安全保護等級專家評審委服遠員(yuán)會評審。 

第十一(yī)條 信息系統的安全保護等級确定後，運營、使用單位應舞見當按照國家信息安全等級保護管理規範和技術标準，使用符我銀合國家有關規定，滿足信息系統安全保護等級需求的信息答煙技術産品，開(kāi)展信息系統安全建設空長或者改建工(gōng)作。 

第十二條 在信息系統建設過程中(zhōng事問)，運營、使用單位應當按照《計算機信息系統安全保護等級劃分(fēn)議草準則》（GB17859-1999）、《信息系統安全等級保護快友基本要求》等技術标準，參照《信息安全技術 信息系統通用安全懂是技術要求》（GB/T20271-2006）、機相《信息安全技術 網絡基礎安全技術要求》（GB/T20270-20些通06）、《信息安全技術 操作系統安全技術要求》（G短區B/T20272-2006）、《信息安全技術 數據庫管理系統安全技術要求文場》（GB/T20273-2006）、《信息安全技術 服務器技術要他女求》、《信息安全技術 終端計算機系統安全等級技術要求》（GA/相森T671-2006）等技術标準同步建設符合該等級要求的信息安全設施見線。 

第十三條 運營、使用單位應當參照《信息安子黃全技術 信息系統安全管理要求》（GB/T20269-2006）、《信的短息安全技術 信息系統安全工(gōng)程管理要求》（GB/T20照媽282-2006）、《信息系統安全等級保護基本要求》等管理規範，制定并飛北落實符合本系統安全保護等級要求的安全管理制度錢遠。 

第十四條 信息系統建設完成後，運營、使用單位或者其主管部門應當選擇符合本辦法規很司定條件的測評機構，依據《信息系統安全等級保護測評空習要求》等技術标準，定期對信息系統安全等級狀況討醫開(kāi)展等級測評。第三級信息系統應當每年至少進行一(yī)次等級測明地評，第四級信息系統應當每半年至少進行一(yī)次等級測化費評，第五級信息系統應當依據特殊安全需求進行等級一術測評。 

信息系統運營、使用單位及其主管部門應當定期對信從你息系統安全狀況、安全保護制度及措施的落實情況進行自查。第拍相三級信息系統應當每年至少進行一(yī)次自查，第四級信討那息系統應當每半年至少進行一(yī)次自查，第靜雪五級信息系統應當依據特殊安全需求進行自查腦錯。 

經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應當視吧制定方案進行整改。 

第十五條 已運營（運行）的第二級以上信息系統，應當在安全保護等級确定後村森30日内，由其運營、使用單位到所在地設區的市級以上公安機關辦理著數備案手續。 

新建第二級以上信息系統，應當在投入運行後30日内，由其運營、使用單兒場位到所在地設區的市級以上公安機關辦理備案手續。 

隸屬于中(zhōng)央的在京單位，其跨省或者全國統一(yī)聯網運行并分喝由主管部門統一(yī)定級的信息系統，由主管部門向公安部辦理備案手續。跨省或師拿者全國統一(yī)聯網運行的信息系統在各地運行、應用店子的分(fēn)支系統，應當向當地設區的市級以上公從快安機關備案。 

第十六條 辦理信息系統安全保護等級備案手續時，應當填寫《信匠南息系統安全等級保護備案表》，第三級以上信息系統應當同時腦通提供以下(xià)材料： 

（一(yī)）系統拓撲結構及說明； 

（二）系統安全組織機構和管理制度； 新答

（三）系統安全保護設施設計實施方案或者改建實施方案門低； 

（四）系統使用的信息安全産品清單及其認證、銷拍話售許可證明； 

（五）測評後符合系統安全保護等級的技術檢測評估報告；&nbs明風p;

（六）信息系統安全保護等級專家評審意見； 離路;

（七）主管部門審核批準信息系統安全保護等級的意見。 

第十七條 信息系統備案後，公安機關應當對信息系統的備案情況兵答進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工(gōn算務g)作日内頒發信息系統安全等級保護備案證明；山都發現不符合本辦法及有關标準的，應當在收到備案材料之日起信路的10個工(gōng)作日内通知(zhī)高機備案單位予以糾正；發現定級不準的，應當在收到備案材料之日起的10多舊個工(gōng)作日内通知(zhī)備案單位重新審核确定。 

運營、使用單位或者主管部門重新确定信息系統等級後，應當按照本辦法報喝向公安機關重新備案。     &綠女nbsp;

第十八條 受理備案的公安機關應當對第三級、第四級信息系統的運營、使機她用單位的信息安全等級保護工(gōng)作情況進行放吃檢查。對第三級信息系統每年至少檢查一(yī)次，對第問是四級信息系統每半年至少檢查一(yī)次。對跨省外這或者全國統一(yī)聯網運行的信息系統的檢查，應當會同其主管部門進行。&nbs聽公p;

對第五級信息系統，應當由國家指定的專門部門進行檢查雨妹。 

公安機關、國家指定的專門部門應當對下(xià)列事項進行檢化影查： 

（一(yī)） 信息系統安全需求是否發生(shēng)變車話化，原定保護等級是否準确； 

（二） 運營、使用單位安全管理制度、措施的落實情況； 喝山

（三） 運營、使用單位及其主管部門對信息系統安全狀況的森我檢查情況； 

（四） 系統安全等級測評是否符合要求； 

（五） 信息安全産品使用是否符合要求；&n靜慢bsp;

（六） 信息系統安全整改情況； 

（七） 備案材料與運營、使用單位、信息系統的符合情況； 

（八） 其他應當進行監督檢查的事項。 

第十九條 信息系統運營、使用單位應當接受公安機關、國家指定視購的專門部門的安全監督、檢查、指導，如實向公安機關、國家指定的專門部亮動門提供下(xià)列有關信息安全保護的信能內息資(zī)料及數據文件： 

（一(yī)） 信息系統備案事項變更情況； 

（二） 安全組織、人員(yuán)的變動情況； 

（三） 信息安全管理制度、措施變更情況； 

（四） 信息系統運行狀況記錄； 

（五） 運營、使用單位及主管部門定期對信息系統安全狀況的檢查記國的錄； 

（六） 對信息系統開(kāi)展等級測評可快的技術測評報告； 

（七） 信息安全産品使用的變更情況； 

（八） 信息安全事件應急預案，信息安全事件應急處置結果報告；&nb畫話sp;

（九） 信息系統安全建設、整改結果報告。 

第二十條 公安機關檢查發現信息系統安全保護狀況不符合信息安全等級麗聽保護有關管理規範和技術标準的，應當向運營、使用單位發出整改通知(zh靜微ī)。運營、使用單位應當根據整改通知(zhī)要求，按照管理規範身間和技術标準進行整改。整改完成後，應當将整改報告向公也農安機關備案。必要時，公安機關可以對整改情況組織檢查。 外從

第二十一(yī)條 第三級以上信息系統應當選擇使用符電姐合以下(xià)條件的信息安全産品： 

（一(yī)）産品研制、生(shēng)産單位是由中(zhōng)國公民門地、法人投資(zī)或者國家投資(zī)或者控股的，在中(zhōng作雪)華人民共和國境内具有獨立的法人資(zī)格；&讀畫nbsp;

（二）産品的核心技術、關鍵部件具有我(wǒ)北懂(wǒ)國自主知(zhī)識産權； 

（三）産品研制、生(shēng)産單位及其主要短大業務、技術人員(yuán)無犯罪記錄； 

（四）産品研制、生(shēng)産單位聲明沒有故意留有或者設置漏洞、後門廠技、木馬等程序和功能； 

（五）對國家安全、社會秩序、公共利益不構成危害月科； 

（六）對已列入信息安全産品認證目錄的，應當取得國家信息安全産品愛數認證機構頒發的認證證書(shū)。 

第二十二條 第三級以上信息系統應當選擇符合下(xià)列條件的哥著等級保護測評機構進行測評： 

（一(yī)） 在中(zhōng)華人民共和國境内注冊成立（樹海港澳台地區除外(wài)）； 

（二） 由中(zhōng)國公民投資(zī)、中(林錢zhōng)國法人投資(zī)或者國家投資(zī)的企事大吃業單位（港澳台地區除外(wài)）； 

（三） 從事相關檢測評估工(gōng)作兩年以上，鐵筆無違法記錄； 

（四） 工(gōng)作人員(yuán)僅限于中(zhō自科ng)國公民； 

（五） 法人及主要業務、技術人員(yuán)無犯罪記錄； 場的

（六） 使用的技術裝備、設施應當符合本辦法對信息安全高中産品的要求； 

（七） 具有完備的保密管理、項目管理、質量管理、人員(yuán現秒)管理和培訓教育等安全管理制度； 

（八） 對國家安全、社會秩序、公共利益不構成威脅。 

第二十三條 從事信息系統安全等級測評的機構，應當履行從個下(xià)列義務： 

（一(yī)）遵守國家有關法律法規和技術标準，提供安全、客觀、公正的檢測遠暗評估服務，保證測評的質量和效果； 

（二）保守在測評活動中(zhōng)知(zhī)悉門微的國家秘密、商(shāng)業秘密和個人隐文妹私，防範測評風險； 

（三）對測評人員(yuán)進行安全保密教育，與其簽訂安全保密責任書(空綠shū)，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第四章 涉及國家秘密信息系統的分(fēn)級保護管理 

第二十四條 涉密信息系統應當依據國家信息安全等級保護的基本要求，按照國家保密喝視工(gōng)作部門有關涉密信息系統分(fē金做n)級保護的管理規定和技術标準，結合系統實際情況進行保護。 

非涉密信息系統不得處理國家秘密信息。 

第二十五條 涉密信息系統按照所處理信息的**密級，由筆現低到高分(fēn)爲秘密、機密、絕密三個等級。 

涉密信息系統建設使用單位應當在信息規範定密紙舞的基礎上，依據涉密信息系統分(fēn)級保護管理辦法和明作國家保密标準BMB17-2006《涉及國家秘密的計算機信息系統分書子(fēn)級保護技術要求》确定系統等級。對于包個信含多個安全域的涉密信息系統，各安全域可以分(fēn)别确定保護等級兒在。 

保密工(gōng)作部門和機構應當監督指導涉密信息系統建設使用單位準音北确、合理地進行系統定級。 

第二十六條 涉密信息系統建設使用單位應當将涉密信息系統定級和建設報唱使用情況，及時上報業務主管部門的保密工(gōng)作機構和負責理件系統審批的保密工(gōng)作部門備案，并接受保密部兒一門的監督、檢查、指導。 

第二十七條 涉密信息系統建設使用單位應當選擇體他具有涉密集成資(zī)質的單位承擔或者參與涉密信息系統報線的設計與實施。 

涉密信息系統建設使用單位應當依據涉密信息系統分(fēn)級保護管理規範和技術标體藍準，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分(f林短ēn)級保護，其保護水平總體(tǐ)上不低于國家信息安全等級保護第三級草行、第四級、第五級的水平。 

第二十八條 涉密信息系統使用的信息安全保密産品原則上應當選用國産品，并應從技當通過國家保密局授權的檢測機構依據有關國家保密下暗标準進行的檢測，通過檢測的産品由國家保密局審核發布目錄。&n跳員bsp;

第二十九條 涉密信息系統建設使用單位在系統工(gōng)程實施結束服短後，應當向保密工(gōng)作部門提出申請，由國家保密局授權的系統服鄉測評機構依據國家保密标準BMB22-2007《涉及國家秘密的計算機信息系統分紙男(fēn)級保護測評指南(nán)》，對涉密信息系統進行安全保密測評。&n數動bsp;

涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家秘密的信息系統審批喝多管理規定》，向設區的市級以上保密工(gōng)作部門申海照請進行系統審批，涉密信息系統通過審批後方可投雪科入使用。已投入使用的涉密信息系統，其建設使用單位在按照物那分(fēn)級保護要求完成系統整改後，應當向保密工(gōng)作部門備案。&女唱nbsp;

第三十條 涉密信息系統建設使用單位在申請系統審批或光長者備案時，應當提交以下(xià)材料： 

（一(yī)）系統設計、實施方案及審查論證意看雪見； 

（二）系統承建單位資(zī)質證明材料； 

（三）系統建設和工(gōng)程監理情況報告書城； 

（四）系統安全保密檢測評估報告； 

（五）系統安全保密組織機構和管理制度情況； 又筆;

（六）其他有關材料。 

第三十一(yī)條 涉密信息系統發生(shēng)涉密等商看級、連接範圍、環境設施、主要應用、安全保密管理責任單位變更時，其建設使物場用單位應當及時向負責審批的保密工(gōng)作部門報告。保密工(gōng)作紙如部門應當根據實際情況，決定是否對其重新進行測評和審批。 相刀;

第三十二條 涉密信息系統建設使用單位應當依據國家保密标準BMB20-2007《煙笑涉及國家秘密的信息系統分(fēn)級保護管理微不規範》，加強涉密信息系統運行中(zhōng)的保密管理，定期進行風險評時冷估，******洩密隐患和漏洞。 

第三十三條 國家和地方各級保密工(gōng)作部門依法對各就花地區、各部門涉密信息系統分(fēn)級保護工(g請也ōng)作實施監督管理，并做好以下(xià議妹)工(gōng)作： 

（一(yī)）指導、監督和檢查分(fēn)級保護工(gōng)作的開(秒拿kāi)展； 

（二）指導涉密信息系統建設使用單位規範信息定密，合理确定系統保護等級；&nbs對城p;

（三）參與涉密信息系統分(fēn)級保護方案論證，指導建設使用國都單位做好保密設施的同步規劃設計； 

（四）依法對涉密信息系統集成資(zī)質單位進行樂白監督管理； 

（五）嚴格進行系統測評和審批工(gōng)作，監督小對檢查涉密信息系統建設使用單位分(fēn)他水級保護管理制度和技術措施的落實情況； 

（六）加強涉密信息系統運行中(zhōng業訊)的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一(好明yī)次保密檢查或者系統測評，對絕密級信息系統每年至少進行一(yī)次保密檢算呢查或者系統測評； 

（七）了解掌握各級各類涉密信息系統的管理使暗頻用情況，及時發現和查處各種違規違法行爲和洩密事件。

 第五章 信息安全等級保護的密碼管理 

第三十四條 國家密碼管理部門對信息安全等級保錢資護的密碼實行分(fēn)類分(fēn)級管理。根據被保護對象在歌放國家安全、社會穩定、經濟建設中(zhōng)的作用和重要程度個人，被保護對象的安全防護要求和涉密程度，被保護下都對象被破壞後的危害程度以及密碼使用部門的性質等，确定密碼的等級保護準則。&道體nbsp;

信息系統運營、使用單位采用密碼進行等級保護的，應當遵照《信息錢件安全等級保護密碼管理辦法》、《信息安全等級保護商(shān嗎費g)用密碼技術要求》等密碼管理規定和相關标準。&nb些技sp;

第三十五條 信息系統安全等級保護中(zhōng)密碼的配師自備、使用和管理等，應當嚴格執行國家密碼管理的有老綠關規定。 

第三十六條 信息系統運營、使用單位應當充分(fēn)運用密碼技術對信息章日系統進行保護。采用密碼對涉及國家秘密的信息和信息系統進行保護的，應報經國家密碼和媽管理局審批，密碼的設計、實施、使用、運行腦事維護和日常管理等，應當按照國家密碼管理有關規定和相關标準執行；采用密商美碼對不涉及國家秘密的信息和信息系統進行保護的，須遵守《商(shān鐘區g)用密碼管理條例》和密碼分(fēn)類分(f訊秒ēn)級保護有關規定與相關标準，其密碼的配備使用情況應當向國家購行密碼管理機構備案。 

第三十七條 運用密碼技術對信息系統進行系統等級保護建用短設和整改的，必須采用經國家密碼管理部門批準使用或者準于銷售的密碼産品進行安用生全保護，不得采用國外(wài)引進或者擅自研制購舞的密碼産品；未經批準不得采用含有加密功能的進口信息技術産品。家船 

第三十八條 信息系統中(zhōng)的密碼及密碼設備的測評工(gōng)得嗎作由國家密碼管理局認可的測評機構承擔，其他任何部門、單位和個人不得對密道舊碼進行評測和監控。 

第三十九條 各級密碼管理部門可以定期或者不定期照船對信息系統等級保護工(gōng)作中(zhōng)密碼配備、使用和子近管理的情況進行檢查和測評，對重要涉密信息謝懂系統的密碼配備、使用和管理情況每兩年至少進行一(yī)次檢查和測評鐘購。在監督檢查過程中(zhōng)，發現存在安全隐患或者違反密碼管理相個好關規定或者未達到密碼相關标準要求的，應當按照國家密業動碼管理的相關規定進行處置。 

第六章 法律責任 

第四十條 第三級以上信息系統運營、使用單位違反本辦法了民規定，有下(xià)列行爲之一(yī)的，由公安機關、國家保密工(gōng懂很)作部門和國家密碼工(gōng)作管理部門按照職責分(fēn)工(gōng)來體責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情化間況，建議對其直接負責的主管人員(yuán)和學高其他直接責任人員(yuán)予以處理，并及時反饋處謝新理結果： 

（一(yī)） 未按本辦法規定備案、審批的； 

（二） 未按本辦法規定落實安全管理制度、措施的；&n白錯bsp;

（三） 未按本辦法規定開(kāi)展系統安全狀況檢查的；&n大謝bsp;

（四） 未按本辦法規定開(kāi)展系統安藍森全技術測評的； 

（五） 接到整改通知(zhī)後，拒不整改的； 白計

（六） 未按本辦法規定選擇使用信息安全産品和測評機構的；&nb林站sp;

（七） 未按本辦法規定如實提供有關文件和證明材料的紅區； 

（八） 違反保密管理規定的； 

（九） 違反密碼管理規定的； 

（十） 違反本辦法其他規定的。 

違反前款規定，造成嚴重損害的，由相關部門依照有關法律、法規予以處裡吧理。 

第四十一(yī)條 信息安全監管部門及其工(不白gōng)作人員(yuán)在履行監督管理職責中(zhōng)，玩忽職守、濫用他樹職權、徇私舞弊的，依法給予行政處分(fēn)；構成犯罪的，依法追究窗事刑事責任。 

第七章 附則 

第四十二條 已運行信息系統的運營、使用單位自本辦法施行之日起1妹黃80日内确定信息系統的安全保護等級；新建信息系統光鄉在設計、規劃階段确定安全保護等級。 腦相

第四十三條 本辦法所稱“以上”包含本數（級）。

第四十四條 本辦法自發布之日起施行，《信息安什裡全等級保護管理辦法（試行）》（公通字[2006]7号）同時廢止。&n窗員bsp;