總則 

第 一(one)條 爲(for)規範信息安全等級保護管理，提高信息安全保障能力和(and)水平，維護國家安全、社會穩定和(and)公共利益，保障和(and)促進信息化建設，根據《中華人(people)民共和(and)國計算機信息系統安全保護條例》等有關法律法規，制定本辦法。 

第 二條 國家通過制定統一(one)的(of)信息安全等級保護管理規範和(and)技術标準，組織公民、法人(people)和(and)其他(he)組織對信息系統分等級實行安全保護，對等級保護工作(do)的(of)實施進行監督、管理。 

第 三條 公安機關負責信息安全等級保護工作(do)的(of)監督、檢查、指導。國家保密工作(do)部門負責等級保護工作(do)中有關保密工作(do)的(of)監督、檢查、指導。國家密碼管理部門負責等級保護工作(do)中有關密碼工作(do)的(of)監督、檢查、指導。涉及其他(he)職能部門管轄範圍的(of)事項，由有關職能部門依照國家法律法規的(of)規定進行管理。國務院信息化工作(do)辦公室及地(land)方信息化領導小組辦事機構負責等級保護工作(do)的(of)部門間協調。 

第四條 信息系統主管部門應當依照本辦法及相關标準規範，督促、檢查、指導本行業、本部門或者本地(land)區信息系統運營、使用(use)單位的(of)信息安全等級保護工作(do)。 

第五條 信息系統的(of)運營、使用(use)單位應當依照本辦法及其相關标準規範，履行信息安全等級保護的(of)義務和(and)責任。 

第二章 等級劃分與保護 

第六條 國家信息安全等級保護堅持自主定級、自主保護的(of)原則。信息系統的(of)安全保護等級應當根據信息系統在(exist)國家安全、經濟建設、社會生(born)活中的(of)重要(want)程度，信息系統遭到(arrive)破壞後對國家安全、社會秩序、公共利益以(by)及公民、法人(people)和(and)其他(he)組織的(of)合法權益的(of)危害程度等因素确定。 

第七條 信息系統的(of)安全保護等級分爲(for)以(by)下五級： 

信息系統受到(arrive)破壞後，會對公民、法人(people)和(and)其他(he)組織的(of)合法權益造成損害，但不(No)損害國家安全、社會秩序和(and)公共利益。 

第二級，信息系統受到(arrive)破壞後，會對公民、法人(people)和(and)其他(he)組織的(of)合法權益産生(born)嚴重損害，或者對社會秩序和(and)公共利益造成損害，但不(No)損害國家安全。 

第三級，信息系統受到(arrive)破壞後，會對社會秩序和(and)公共利益造成嚴重損害，或者對國家安全造成損害。 

第四級，信息系統受到(arrive)破壞後，會對社會秩序和(and)公共利益造成特别嚴重損害，或者對國家安全造成嚴重損害。 

第五級，信息系統受到(arrive)破壞後，會對國家安全造成特别嚴重損害。 

第八條 信息系統運營、使用(use)單位依據本辦法和(and)相關技術标準對信息系統進行保護，國家有關信息安全監管部門對其信息安全等級保護工作(do)進行監督管理。 

信息系統運營、使用(use)單位應當依據國家有關管理規範和(and)技術标準進行保護。 

第二級信息系統運營、使用(use)單位應當依據國家有關管理規範和(and)技術标準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作(do)進行指導。 

第三級信息系統運營、使用(use)單位應當依據國家有關管理規範和(and)技術标準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作(do)進行監督、檢查。 

第四級信息系統運營、使用(use)單位應當依據國家有關管理規範、技術标準和(and)業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作(do)進行強制監督、檢查。 

第五級信息系統運營、使用(use)單位應當依據國家管理規範、技術标準和(and)業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作(do)進行專門監督、檢查。

第三章 等級保護的(of)實施與管理 

第九條 信息系統運營、使用(use)單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作(do)。 

第十條 信息系統運營、使用(use)單位應當依據本辦法和(and)《信息系統安全等級保護定級指南》确定信息系統的(of)安全保護等級。有主管部門的(of)，應當經主管部門審核批準。 

跨省或者全國統一(one)聯網運行的(of)信息系統可以(by)由主管部門統一(one)确定安全保護等級。 

對拟确定爲(for)第四級以(by)上信息系統的(of)，運營、使用(use)單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。 

第十一(one)條 信息系統的(of)安全保護等級确定後，運營、使用(use)單位應當按照國家信息安全等級保護管理規範和(and)技術标準，使用(use)符合國家有關規定，滿足信息系統安全保護等級需求的(of)信息技術産品，開展信息系統安全建設或者改建工作(do)。 

第十二條 在(exist)信息系統建設過程中，運營、使用(use)單位應當按照《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要(want)求》等技術标準，參照《信息安全技術 信息系統通用(use)安全技術要(want)求》（GB/T20271-2006）、《信息安全技術 網絡基礎安全技術要(want)求》（GB/T20270-2006）、《信息安全技術 操作(do)系統安全技術要(want)求》（GB/T20272-2006）、《信息安全技術 數據庫管理系統安全技術要(want)求》（GB/T20273-2006）、《信息安全技術 服務器技術要(want)求》、《信息安全技術 終端計算機系統安全等級技術要(want)求》（GA/T671-2006）等技術标準同步建設符合該等級要(want)求的(of)信息安全設施。 

第十三條 運營、使用(use)單位應當參照《信息安全技術 信息系統安全管理要(want)求》（GB/T20269-2006）、《信息安全技術 信息系統安全工程管理要(want)求》（GB/T20282-2006）、《信息系統安全等級保護基本要(want)求》等管理規範，制定并落實符合本系統安全保護等級要(want)求的(of)安全管理制度。 

第十四條 信息系統建設完成後，運營、使用(use)單位或者其主管部門應當選擇符合本辦法規定條件的(of)測評機構，依據《信息系統安全等級保護測評要(want)求》等技術标準，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一(one)次等級測評，第四級信息系統應當每半年至少進行一(one)次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。 

信息系統運營、使用(use)單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的(of)落實情況進行自查。第三級信息系統應當每年至少進行一(one)次自查，第四級信息系統應當每半年至少進行一(one)次自查，第五級信息系統應當依據特殊安全需求進行自查。 

經測評或者自查，信息系統安全狀況未達到(arrive)安全保護等級要(want)求的(of)，運營、使用(use)單位應當制定方案進行整改。 

第十五條 已運營（運行）的(of)第二級以(by)上信息系統，應當在(exist)安全保護等級确定後30日内，由其運營、使用(use)單位到(arrive)所在(exist)地(land)設區的(of)市級以(by)上公安機關辦理備案手續。 

新建第二級以(by)上信息系統，應當在(exist)投入運行後30日内，由其運營、使用(use)單位到(arrive)所在(exist)地(land)設區的(of)市級以(by)上公安機關辦理備案手續。 

隸屬于(At)中央的(of)在(exist)京單位，其跨省或者全國統一(one)聯網運行并由主管部門統一(one)定級的(of)信息系統，由主管部門向公安部辦理備案手續。跨省或者全國統一(one)聯網運行的(of)信息系統在(exist)各地(land)運行、應用(use)的(of)分支系統，應當向當地(land)設區的(of)市級以(by)上公安機關備案。 

第十六條 辦理信息系統安全保護等級備案手續時(hour)，應當填寫《信息系統安全等級保護備案表》，第三級以(by)上信息系統應當同時(hour)提供以(by)下材料： 

（一(one)）系統拓撲結構及說明； 

（二）系統安全組織機構和(and)管理制度； 

（三）系統安全保護設施設計實施方案或者改建實施方案； 

（四）系統使用(use)的(of)信息安全産品清單及其認證、銷售許可證明； 

（五）測評後符合系統安全保護等級的(of)技術檢測評估報告； 

（六）信息系統安全保護等級專家評審意見； 

（七）主管部門審核批準信息系統安全保護等級的(of)意見。 

第十七條 信息系統備案後，公安機關應當對信息系統的(of)備案情況進行審核，對符合等級保護要(want)求的(of)，應當在(exist)收到(arrive)備案材料之日起的(of)10個(indivual)工作(do)日内頒發信息系統安全等級保護備案證明；發現不(No)符合本辦法及有關标準的(of)，應當在(exist)收到(arrive)備案材料之日起的(of)10個(indivual)工作(do)日内通知備案單位予以(by)糾正；發現定級不(No)準的(of)，應當在(exist)收到(arrive)備案材料之日起的(of)10個(indivual)工作(do)日内通知備案單位重新審核确定。 

運營、使用(use)單位或者主管部門重新确定信息系統等級後，應當按照本辦法向公安機關重新備案。      

第十八條 受理備案的(of)公安機關應當對第三級、第四級信息系統的(of)運營、使用(use)單位的(of)信息安全等級保護工作(do)情況進行檢查。對第三級信息系統每年至少檢查一(one)次，對第四級信息系統每半年至少檢查一(one)次。對跨省或者全國統一(one)聯網運行的(of)信息系統的(of)檢查，應當會同其主管部門進行。 

對第五級信息系統，應當由國家指定的(of)專門部門進行檢查。 

公安機關、國家指定的(of)專門部門應當對下列事項進行檢查： 

（一(one)） 信息系統安全需求是(yes)否發生(born)變化，原定保護等級是(yes)否準确； 

（二） 運營、使用(use)單位安全管理制度、措施的(of)落實情況； 

（三） 運營、使用(use)單位及其主管部門對信息系統安全狀況的(of)檢查情況； 

（四） 系統安全等級測評是(yes)否符合要(want)求； 

（五） 信息安全産品使用(use)是(yes)否符合要(want)求； 

（六） 信息系統安全整改情況； 

（七） 備案材料與運營、使用(use)單位、信息系統的(of)符合情況； 

（八） 其他(he)應當進行監督檢查的(of)事項。 

第十九條 信息系統運營、使用(use)單位應當接受公安機關、國家指定的(of)專門部門的(of)安全監督、檢查、指導，如實向公安機關、國家指定的(of)專門部門提供下列有關信息安全保護的(of)信息資料及數據文件： 

（一(one)） 信息系統備案事項變更情況； 

（二） 安全組織、人(people)員的(of)變動情況； 

（三） 信息安全管理制度、措施變更情況； 

（四） 信息系統運行狀況記錄； 

（五） 運營、使用(use)單位及主管部門定期對信息系統安全狀況的(of)檢查記錄； 

（六） 對信息系統開展等級測評的(of)技術測評報告； 

（七） 信息安全産品使用(use)的(of)變更情況； 

（八） 信息安全事件應急預案，信息安全事件應急處置結果報告； 

（九） 信息系統安全建設、整改結果報告。 

第二十條 公安機關檢查發現信息系統安全保護狀況不(No)符合信息安全等級保護有關管理規範和(and)技術标準的(of)，應當向運營、使用(use)單位發出(out)整改通知。運營、使用(use)單位應當根據整改通知要(want)求，按照管理規範和(and)技術标準進行整改。整改完成後，應當将整改報告向公安機關備案。必要(want)時(hour)，公安機關可以(by)對整改情況組織檢查。 

第二十一(one)條 第三級以(by)上信息系統應當選擇使用(use)符合以(by)下條件的(of)信息安全産品： 

（一(one)）産品研制、生(born)産單位是(yes)由中國公民、法人(people)投資或者國家投資或者控股的(of)，在(exist)中華人(people)民共和(and)國境内具有獨立的(of)法人(people)資格； 

（二）産品的(of)核心技術、關鍵部件具有我(I)國自主知識産權； 

（三）産品研制、生(born)産單位及其主要(want)業務、技術人(people)員無犯罪記錄； 

（四）産品研制、生(born)産單位聲明沒有故意留有或者設置漏洞、後門、木馬等程序和(and)功能； 

（五）對國家安全、社會秩序、公共利益不(No)構成危害； 

（六）對已列入信息安全産品認證目錄的(of)，應當取得國家信息安全産品認證機構頒發的(of)認證證書。 

第二十二條 第三級以(by)上信息系統應當選擇符合下列條件的(of)等級保護測評機構進行測評： 

（一(one)） 在(exist)中華人(people)民共和(and)國境内注冊成立（港澳台地(land)區除外）； 

（二） 由中國公民投資、中國法人(people)投資或者國家投資的(of)企事業單位（港澳台地(land)區除外）； 

（三） 從事相關檢測評估工作(do)兩年以(by)上，無違法記錄； 

（四） 工作(do)人(people)員僅限于(At)中國公民； 

（五） 法人(people)及主要(want)業務、技術人(people)員無犯罪記錄； 

（六） 使用(use)的(of)技術裝備、設施應當符合本辦法對信息安全産品的(of)要(want)求； 

（七） 具有完備的(of)保密管理、項目管理、質量管理、人(people)員管理和(and)培訓教育等安全管理制度； 

（八） 對國家安全、社會秩序、公共利益不(No)構成威脅。 

第二十三條 從事信息系統安全等級測評的(of)機構，應當履行下列義務： 

（一(one)）遵守國家有關法律法規和(and)技術标準，提供安全、客觀、公正的(of)檢測評估服務，保證測評的(of)質量和(and)效果； 

（二）保守在(exist)測評活動中知悉的(of)國家秘密、商業秘密和(and)個(indivual)人(people)隐私，防範測評風險； 

（三）對測評人(people)員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的(of)安全保密義務和(and)承擔的(of)法律責任，并負責檢查落實。

第四章 涉及國家秘密信息系統的(of)分級保護管理 

第二十四條 涉密信息系統應當依據國家信息安全等級保護的(of)基本要(want)求，按照國家保密工作(do)部門有關涉密信息系統分級保護的(of)管理規定和(and)技術标準，結合系統實際情況進行保護。 

非涉密信息系統不(No)得處理國家秘密信息。 

第二十五條 涉密信息系統按照所處理信息的(of)**密級，由低到(arrive)高分爲(for)秘密、機密、絕密三個(indivual)等級。 

涉密信息系統建設使用(use)單位應當在(exist)信息規範定密的(of)基礎上，依據涉密信息系統分級保護管理辦法和(and)國家保密标準BMB17-2006《涉及國家秘密的(of)計算機信息系統分級保護技術要(want)求》确定系統等級。對于(At)包含多個(indivual)安全域的(of)涉密信息系統，各安全域可以(by)分别确定保護等級。 

保密工作(do)部門和(and)機構應當監督指導涉密信息系統建設使用(use)單位準确、合理地(land)進行系統定級。 

第二十六條 涉密信息系統建設使用(use)單位應當将涉密信息系統定級和(and)建設使用(use)情況，及時(hour)上報業務主管部門的(of)保密工作(do)機構和(and)負責系統審批的(of)保密工作(do)部門備案，并接受保密部門的(of)監督、檢查、指導。 

第二十七條 涉密信息系統建設使用(use)單位應當選擇具有涉密集成資質的(of)單位承擔或者參與涉密信息系統的(of)設計與實施。 

涉密信息系統建設使用(use)單位應當依據涉密信息系統分級保護管理規範和(and)技術标準，按照秘密、機密、絕密三級的(of)不(No)同要(want)求，結合系統實際進行方案設計，實施分級保護，其保護水平總體上不(No)低于(At)國家信息安全等級保護第三級、第四級、第五級的(of)水平。 

第二十八條 涉密信息系統使用(use)的(of)信息安全保密産品原則上應當選用(use)國産品，并應當通過國家保密局授權的(of)檢測機構依據有關國家保密标準進行的(of)檢測，通過檢測的(of)産品由國家保密局審核發布目錄。 

第二十九條 涉密信息系統建設使用(use)單位在(exist)系統工程實施結束後，應當向保密工作(do)部門提出(out)申請，由國家保密局授權的(of)系統測評機構依據國家保密标準BMB22-2007《涉及國家秘密的(of)計算機信息系統分級保護測評指南》，對涉密信息系統進行安全保密測評。 

涉密信息系統建設使用(use)單位在(exist)系統投入使用(use)前，應當按照《涉及國家秘密的(of)信息系統審批管理規定》，向設區的(of)市級以(by)上保密工作(do)部門申請進行系統審批，涉密信息系統通過審批後方可投入使用(use)。已投入使用(use)的(of)涉密信息系統，其建設使用(use)單位在(exist)按照分級保護要(want)求完成系統整改後，應當向保密工作(do)部門備案。 

第三十條 涉密信息系統建設使用(use)單位在(exist)申請系統審批或者備案時(hour)，應當提交以(by)下材料： 

（一(one)）系統設計、實施方案及審查論證意見； 

（二）系統承建單位資質證明材料； 

（三）系統建設和(and)工程監理情況報告； 

（四）系統安全保密檢測評估報告； 

（五）系統安全保密組織機構和(and)管理制度情況； 

（六）其他(he)有關材料。 

第三十一(one)條 涉密信息系統發生(born)涉密等級、連接範圍、環境設施、主要(want)應用(use)、安全保密管理責任單位變更時(hour)，其建設使用(use)單位應當及時(hour)向負責審批的(of)保密工作(do)部門報告。保密工作(do)部門應當根據實際情況，決定是(yes)否對其重新進行測評和(and)審批。 

第三十二條 涉密信息系統建設使用(use)單位應當依據國家保密标準BMB20-2007《涉及國家秘密的(of)信息系統分級保護管理規範》，加強涉密信息系統運行中的(of)保密管理，定期進行風險評估，消除洩密隐患和(and)漏洞。 

第三十三條 國家和(and)地(land)方各級保密工作(do)部門依法對各地(land)區、各部門涉密信息系統分級保護工作(do)實施監督管理，并做好以(by)下工作(do)： 

（一(one)）指導、監督和(and)檢查分級保護工作(do)的(of)開展； 

（二）指導涉密信息系統建設使用(use)單位規範信息定密，合理确定系統保護等級； 

（三）參與涉密信息系統分級保護方案論證，指導建設使用(use)單位做好保密設施的(of)同步規劃設計； 

（四）依法對涉密信息系統集成資質單位進行監督管理； 

（五）嚴格進行系統測評和(and)審批工作(do)，監督檢查涉密信息系統建設使用(use)單位分級保護管理制度和(and)技術措施的(of)落實情況； 

（六）加強涉密信息系統運行中的(of)保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一(one)次保密檢查或者系統測評，對絕密級信息系統每年至少進行一(one)次保密檢查或者系統測評； 

（七）了(Got it)解掌握各級各類涉密信息系統的(of)管理使用(use)情況，及時(hour)發現和(and)查處各種違規違法行爲(for)和(and)洩密事件。

 第五章 信息安全等級保護的(of)密碼管理 

第三十四條 國家密碼管理部門對信息安全等級保護的(of)密碼實行分類分級管理。根據被保護對象在(exist)國家安全、社會穩定、經濟建設中的(of)作(do)用(use)和(and)重要(want)程度，被保護對象的(of)安全防護要(want)求和(and)涉密程度，被保護對象被破壞後的(of)危害程度以(by)及密碼使用(use)部門的(of)性質等，确定密碼的(of)等級保護準則。 

信息系統運營、使用(use)單位采用(use)密碼進行等級保護的(of)，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用(use)密碼技術要(want)求》等密碼管理規定和(and)相關标準。 

第三十五條 信息系統安全等級保護中密碼的(of)配備、使用(use)和(and)管理等，應當嚴格執行國家密碼管理的(of)有關規定。 

第三十六條 信息系統運營、使用(use)單位應當充分運用(use)密碼技術對信息系統進行保護。采用(use)密碼對涉及國家秘密的(of)信息和(and)信息系統進行保護的(of)，應報經國家密碼管理局審批，密碼的(of)設計、實施、使用(use)、運行維護和(and)日常管理等，應當按照國家密碼管理有關規定和(and)相關标準執行；采用(use)密碼對不(No)涉及國家秘密的(of)信息和(and)信息系統進行保護的(of)，須遵守《商用(use)密碼管理條例》和(and)密碼分類分級保護有關規定與相關标準，其密碼的(of)配備使用(use)情況應當向國家密碼管理機構備案。 

第三十七條 運用(use)密碼技術對信息系統進行系統等級保護建設和(and)整改的(of)，必須采用(use)經國家密碼管理部門批準使用(use)或者準于(At)銷售的(of)密碼産品進行安全保護，不(No)得采用(use)國外引進或者擅自研制的(of)密碼産品；未經批準不(No)得采用(use)含有加密功能的(of)進口信息技術産品。 

第三十八條 信息系統中的(of)密碼及密碼設備的(of)測評工作(do)由國家密碼管理局認可的(of)測評機構承擔，其他(he)任何部門、單位和(and)個(indivual)人(people)不(No)得對密碼進行評測和(and)監控。 

第三十九條 各級密碼管理部門可以(by)定期或者不(No)定期對信息系統等級保護工作(do)中密碼配備、使用(use)和(and)管理的(of)情況進行檢查和(and)測評，對重要(want)涉密信息系統的(of)密碼配備、使用(use)和(and)管理情況每兩年至少進行一(one)次檢查和(and)測評。在(exist)監督檢查過程中，發現存在(exist)安全隐患或者違反密碼管理相關規定或者未達到(arrive)密碼相關标準要(want)求的(of)，應當按照國家密碼管理的(of)相關規定進行處置。 

第六章 法律責任 

第四十條 第三級以(by)上信息系統運營、使用(use)單位違反本辦法規定，有下列行爲(for)之一(one)的(of)，由公安機關、國家保密工作(do)部門和(and)國家密碼工作(do)管理部門按照職責分工責令其限期改正；逾期不(No)改正的(of)，給予警告，并向其上級主管部門通報情況，建議對其直接負責的(of)主管人(people)員和(and)其他(he)直接責任人(people)員予以(by)處理，并及時(hour)反饋處理結果： 

（一(one)） 未按本辦法規定備案、審批的(of)； 

（二） 未按本辦法規定落實安全管理制度、措施的(of)； 

（三） 未按本辦法規定開展系統安全狀況檢查的(of)； 

（四） 未按本辦法規定開展系統安全技術測評的(of)； 

（五） 接到(arrive)整改通知後，拒不(No)整改的(of)； 

（六） 未按本辦法規定選擇使用(use)信息安全産品和(and)測評機構的(of)； 

（七） 未按本辦法規定如實提供有關文件和(and)證明材料的(of)； 

（八） 違反保密管理規定的(of)； 

（九） 違反密碼管理規定的(of)； 

（十） 違反本辦法其他(he)規定的(of)。 

違反前款規定，造成嚴重損害的(of)，由相關部門依照有關法律、法規予以(by)處理。 

第四十一(one)條 信息安全監管部門及其工作(do)人(people)員在(exist)履行監督管理職責中，玩忽職守、濫用(use)職權、徇私舞弊的(of)，依法給予行政處分；構成犯罪的(of)，依法追究刑事責任。 

第七章 附則 

第四十二條 已運行信息系統的(of)運營、使用(use)單位自本辦法施行之日起180日内确定信息系統的(of)安全保護等級；新建信息系統在(exist)設計、規劃階段确定安全保護等級。 

第四十三條 本辦法所稱“以(by)上”包含本數（級）。

第四十四條 本辦法自發布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7号）同時(hour)廢止。