信息安全等級(jí)保護(hù)制度

1、第一條為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和 水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信 息化建設(shè)，根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù) 條例等有關(guān)法律法規(guī)，制定本辦法。第二條國(guó)家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù) 標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安 全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。第三條公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān) 督、檢查、指導(dǎo)。國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有 關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范 圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法

2、律法規(guī)的規(guī)定進(jìn)行管 理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī) 構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。第四條信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。第五條信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。第二章等級(jí)劃分與保護(hù)第六條國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定

3、。第七條信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造 成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后， 會(huì)對(duì)社會(huì)秩序和公共利益 造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后， 會(huì)對(duì)社會(huì)秩序和公共利益 造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后， 會(huì)對(duì)國(guó)家安全造成特別嚴(yán) 重?fù)p害。第八條信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信 息系

4、統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全 等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī) 范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī) 范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息 系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī) 范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息 系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī) 范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管 部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、 檢查

5、。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、 技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專門部門 對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢 查。第三章 等級(jí)保護(hù)的實(shí)施與管理第九條信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照 信息系統(tǒng)安全等級(jí)保 護(hù)實(shí)施指南具體實(shí)施等級(jí)保護(hù)工作。第十條信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和 信息系統(tǒng)安 全等級(jí)保護(hù)定級(jí)指南確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主 管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門 統(tǒng)一確定安全保護(hù)等級(jí)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)

6、審。第十一條信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó) 家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn) 品，開展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條在信息系統(tǒng)建設(shè)過程中，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859-1999 )、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)，參照信 息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006 )、信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù) 要求(GB/T20270-2006 )、信息安全技術(shù) 操作系統(tǒng)安 全技術(shù)要求(GB/T20272-2006 )、信息安全技

7、術(shù)數(shù)據(jù) 庫管理系統(tǒng)安全技術(shù)要求(GB/T20273-2006 )、信息安全技術(shù)服務(wù)器技術(shù)要求、信息安全技術(shù)終端計(jì)算機(jī) 系統(tǒng)安全等級(jí)技術(shù)要求(GA/T671-2006 )等技術(shù)標(biāo)準(zhǔn)同 步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。第十三條運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全管理要求(GB/T20269-2006 )、信息安全技術(shù) 信息系 統(tǒng)安全工程管理要求(GB/T20282-2006 )、信息系統(tǒng) 安全等級(jí)保護(hù)基本要求等管理規(guī)范，制定并落實(shí)符合本系 統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。第十四條信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)信息系統(tǒng)安 全

8、等級(jí)保護(hù)測(cè)評(píng)要求等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等 級(jí)狀況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一 次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí) 測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè) 評(píng)。信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系 統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第 三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特 殊安全需求進(jìn)行自查。經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí) 要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。第十五條已運(yùn)營(yíng)（運(yùn)行）或新建的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安

9、 全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地 設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并 由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理 備案手續(xù)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn) 行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān) 備案。第十六條辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫信息系統(tǒng)安全等級(jí)保護(hù)備案表，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí) 提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明

10、；（五）測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告;（六）信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見。第十七條信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn) 行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日 起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明； 發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日 起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn) 的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營(yíng)、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后， 應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。第十八條受理備案的公安機(jī)

11、關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。對(duì)第 三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年 至少檢查一次。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的 檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。對(duì)第五級(jí)信息系統(tǒng)，應(yīng)當(dāng)由國(guó)家指定的專門部門進(jìn)行檢 查。公安機(jī)關(guān)、國(guó)家指定的專門部門應(yīng)當(dāng)對(duì)下列事項(xiàng)進(jìn)行檢查：（一）信息系統(tǒng)安全需求是否發(fā)生變化,原定保護(hù)等級(jí) 是否準(zhǔn)確；（二）運(yùn)營(yíng)、使用單位安全管理制度、措施的落實(shí)情況；（三）運(yùn)營(yíng)、使用單位及其主管部門對(duì)信息系統(tǒng)安全狀 況的檢查情況；（四）系統(tǒng)安全等級(jí)測(cè)評(píng)是否符合要求；（五）信息安全產(chǎn)品使用是否符合要求；（六）信息系統(tǒng)安全整改

12、情況；（七）備案材料與運(yùn)營(yíng)、使用單位、信息系統(tǒng)的符合情 況；（八）其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。第十九條信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國(guó)家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)、國(guó)家 指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及 數(shù)據(jù)文件：（一）信息系統(tǒng)備案事項(xiàng)變更情況；（二）安全組織、人員的變動(dòng)情況；（三）信息安全管理制度、措施變更情況；（四）信息系統(tǒng)運(yùn)行狀況記錄；（五）運(yùn)營(yíng)、使用單位及主管部門定期對(duì)信息系統(tǒng)安全 狀況的檢查記錄；（六）對(duì)信息系統(tǒng)開展等級(jí)測(cè)評(píng)的技術(shù)測(cè)評(píng)報(bào)告；（七）信息安全產(chǎn)品使用的變更情況；（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置 結(jié)果報(bào)告

13、；（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。第二十條公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安 全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營(yíng)、使用 單位發(fā)出整改通知。運(yùn)營(yíng)、使用單位應(yīng)當(dāng)根據(jù)整改通知要求， 按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后，應(yīng)當(dāng)將整 改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)，公安機(jī)關(guān)可以對(duì)整改情況 組織檢查。第二十一條第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國(guó)公民、 法人投資或者 國(guó)家投資或者控股的，在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格；（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件 具有我國(guó)自主知識(shí)產(chǎn)權(quán)；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、

14、 技術(shù)人員無犯 罪記錄；（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏 洞、后門、木馬等程序和功能；（五）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害;（六）對(duì)已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。第二十二條第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)：（一）在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除 外）；（二）由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的 企事業(yè)單位（港澳臺(tái)地區(qū)除外）；（三）從事相關(guān)檢測(cè)評(píng)估工作兩年以上，無違法記錄；（四）工作人員僅限于中國(guó)公民；（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)

15、符合本辦法對(duì)信息安 全產(chǎn)品的要求；（七）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人 員管理和培訓(xùn)教育等安全管理制度；（八）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。第二十三條從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù):（一）遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)，保證測(cè)評(píng)的質(zhì)量和效果；（二）保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私，防范測(cè)評(píng)風(fēng)險(xiǎn)；（三）對(duì)測(cè)評(píng)人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任， 并負(fù)責(zé)檢查落實(shí)。第四章涉密信息系統(tǒng)的分級(jí)保護(hù)管理第二十四條涉密信息系統(tǒng) 應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基

16、本要求，按照國(guó)家保密工作部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。非涉密信息系統(tǒng)不得處理國(guó)家秘密信息等。第二十五條涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ) 上，依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國(guó)家保密標(biāo)準(zhǔn)BMB17-2006涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技 術(shù)要求確定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系 統(tǒng)，各安全域可以分別確定保護(hù)等級(jí)。保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使 用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。第二十六條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息

17、系統(tǒng)定級(jí)和 建設(shè)使用情況，及時(shí)上報(bào) 業(yè)務(wù)主管部門 的保密工作機(jī)構(gòu)和負(fù) 責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、 檢查、指導(dǎo)。第二十七條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì) 的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí) 保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機(jī)密、絕密三級(jí)的不 同要求，結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì)，實(shí)施分級(jí)保護(hù)，其保 護(hù)水平總體上不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí)、第四 級(jí)、第五級(jí)的水平。第二十八條涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用 國(guó)產(chǎn)品，并應(yīng)當(dāng)通過 國(guó)家保密局 授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國(guó) 家保密標(biāo)準(zhǔn)進(jìn)行

18、的檢測(cè)，通過檢測(cè)的產(chǎn)品由國(guó)家保密局審核 發(fā)布目錄。第二十九條涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請(qǐng)，由國(guó)家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī) 構(gòu)依據(jù)國(guó)家保密標(biāo)準(zhǔn) BMB22-2007涉及國(guó)家秘密的計(jì)算機(jī) 信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南，對(duì)涉密信息系統(tǒng)進(jìn)行安全保 密測(cè)評(píng)。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照涉及國(guó)家秘密的信息系統(tǒng)審批管理規(guī)定，向設(shè)區(qū)的市級(jí) 以上保密工作部門申請(qǐng)進(jìn)行系統(tǒng)審批，涉密信息系統(tǒng)通過審 批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使 用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工 作部門備案。第三十條涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系

19、統(tǒng)審批或者備案時(shí)， 應(yīng)當(dāng)提交以下材料：（一）系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見;（二）系統(tǒng)承建單位資質(zhì)證明材料；（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告；（四）系統(tǒng)安全保密檢測(cè)評(píng)估報(bào)告；（五）系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況；（六）其他有關(guān)材料。第三十一條涉密信息系統(tǒng)發(fā)生涉密等級(jí)、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí)，其建設(shè)使用單位應(yīng)當(dāng) 及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根 據(jù)實(shí)際情況，決定是否對(duì)其重新進(jìn)行測(cè)評(píng)和審批。第三十二條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB20-2007涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī) 范，加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理，

20、定期進(jìn)行風(fēng)險(xiǎn) 評(píng)估，消除泄密隱患和漏洞。第三十三條國(guó)家和地方各級(jí)保密工作部門依法對(duì)各地區(qū)、各部門涉密信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)督管理，并做好以下工作：（一）指導(dǎo)、監(jiān)督和檢查分級(jí)保護(hù)工作的開展；（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護(hù)等級(jí)；（三）參與涉密信息系統(tǒng)分級(jí)保護(hù)方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì)；（四）依法對(duì)涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理；（五）嚴(yán)格進(jìn)行系統(tǒng)測(cè)評(píng)和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級(jí)保護(hù)管理制度和技術(shù)措施的落實(shí)情況；（六）加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每?jī)赡曛辽龠M(jìn)行一次保密檢查或者系

21、統(tǒng) 測(cè)評(píng)，對(duì)絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)；（七）了解掌握各級(jí)各類涉密信息系統(tǒng)的管理使用情況， 及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章信息安全等級(jí)保護(hù)的密碼管理第三十四條 國(guó)家密碼管理部門對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理。根據(jù)被保護(hù)對(duì)象在國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建 設(shè)中的作用和重要程度，被保護(hù)對(duì)象的安全防護(hù)要求和涉密 程度，被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門的 性質(zhì)等，確定密碼的等級(jí)保護(hù)準(zhǔn)則。信息系統(tǒng)運(yùn)營(yíng)、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的，應(yīng)當(dāng)遵照信息安全等級(jí)保護(hù)密碼管理辦法、信息安全等級(jí) 保護(hù)商用密碼技術(shù)要求等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十五條信

22、息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國(guó)家密碼管理的有關(guān)規(guī)定。第三十六條信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，應(yīng)報(bào)經(jīng)國(guó)家密碼管理局 審批，密碼的設(shè)計(jì)、實(shí)施、 使用、運(yùn)行維護(hù)和日常管理等，應(yīng)當(dāng)按照國(guó)家密碼管理有關(guān) 規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對(duì)不涉及國(guó)家秘密的信息和 信息系統(tǒng)進(jìn)行保護(hù)的，須遵守 商用密碼管理?xiàng)l例和密碼 分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況 應(yīng)當(dāng)向國(guó)家密碼管理機(jī)構(gòu)備案。第三十七條運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)保護(hù)建設(shè)和整改 的，必須采用經(jīng)國(guó)家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的 密碼產(chǎn)品進(jìn)行安全保護(hù)，不得采用國(guó)外引進(jìn)或者擅自研制的 密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù) 產(chǎn)品。第三十八條信息系統(tǒng)中的密碼及密碼設(shè)備的測(cè)評(píng)工作由國(guó)家密碼管 理局認(rèn)可的測(cè)評(píng)機(jī)構(gòu)承擔(dān)，其他任何部門、單位和個(gè)人不得 對(duì)密碼進(jìn)行評(píng)測(cè)和監(jiān)控。第三十九條各級(jí)密碼管理部