【正文】 保密局審核發(fā)布目錄。第二十九條涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB222007《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)測評指南》，對涉密信息系統(tǒng)進(jìn)行安全保密測評。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級以上保密工作部門申請進(jìn)行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。第三十條涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時(shí)，應(yīng)當(dāng)提交以下材料：（一）系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見；（二）系統(tǒng)承建單位資質(zhì)證明材料；（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告；（四）系統(tǒng)安全保密檢測評估報(bào)告；（五）系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況；（六）其他有關(guān)材料。第三十一條涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí)，其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根據(jù)實(shí)際情況，決定是否對其重新進(jìn)行測評和審批。第三十二條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB202007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》，加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理，定期進(jìn)行風(fēng)險(xiǎn)評估，消除泄密隱患和漏洞。第三十三條國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護(hù)工作實(shí)施監(jiān)督管理，并做好以下工作：（一）指導(dǎo)、監(jiān)督和檢查分級保護(hù)工作的開展；（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護(hù)等級；（三）參與涉密信息系統(tǒng)分級保護(hù)方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì)；（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理；（五）嚴(yán)格進(jìn)行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護(hù)管理制度和技術(shù)措施的落實(shí)情況；（六）加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對秘密級、機(jī)密級信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測評；（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章信息安全等級保護(hù)的密碼管理 第三十四條國家密碼管理部門對信息安全等級保護(hù)的密碼實(shí)行分類分級管理。根據(jù)被保護(hù)對象在國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度，被保護(hù)對象的安全防護(hù)要求和涉密程度，被保護(hù)對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級保護(hù)準(zhǔn)則。信息系統(tǒng)運(yùn)營、使用單位采用密碼進(jìn)行等級保護(hù)的，應(yīng)當(dāng)遵照《信息安全等級保護(hù)密碼管理辦法》、《信息安全等級保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十五條信息系統(tǒng)安全等級保護(hù)中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。第三十六條信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，應(yīng)報(bào)經(jīng)國家密碼管理局審批，密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，須遵守《商用密碼管理?xiàng)l例》和密碼分類分級保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機(jī)構(gòu)備案。第三十七條運(yùn)用密碼技術(shù)對信息系統(tǒng)進(jìn)行系統(tǒng)等級保護(hù)建設(shè)和整改的，必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù)，不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。第三十八條信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機(jī)構(gòu)承擔(dān)，其他任何部門、單位和個(gè)人不得對密碼進(jìn)行評測和監(jiān)控。第三十九條各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進(jìn)行一次檢查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá) 到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行處置。第六章 法律責(zé)任 第四十條第三級以上信息系統(tǒng)運(yùn)營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機(jī)關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報(bào)情況，建議對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時(shí)反饋處理結(jié)果：（一）未按本辦法規(guī)定備案、審批的；（二）未按本辦法規(guī)定落實(shí)安全管理制度、措施的；（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的；（五）接到整改通知后，拒不整改的；（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機(jī)構(gòu)的；（七）未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的；（八）違反保密管理規(guī)定的；（九）違反密碼管理規(guī)定的；（十）違反本辦法其他規(guī)定的。違反前款規(guī)定，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第四十一條信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。第七章 附則第四十二條已運(yùn)行信息系統(tǒng)的運(yùn)營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級；新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級。第四十三條本辦法所稱“以上”包含本數(shù)（級）。第四十四條本辦法自發(fā)布之日起施行，《信息安全等級保護(hù)管理辦法（試行）》（公通字[2006]7 7號）同時(shí)廢止。第二篇：國家信息安全等級保護(hù)制度介紹 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺 的信息安全等級保護(hù)工作。各地級以上市參照成立相應(yīng)工作機(jī)制。重要信息系統(tǒng)運(yùn)營使用單位成立信息安全等級保護(hù)工作組，負(fù)責(zé)組織本單位的信息系統(tǒng)安全等級保護(hù)工作。四、信息安全等級保護(hù)等級劃分和監(jiān)管方式（一）信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級，信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。（二）信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。五、信息安全等級保護(hù)制度的原則信息安全等級保護(hù)的核心是對信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。信息安 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺（五）依法履行備案手續(xù)。信息系統(tǒng)安全保護(hù)等級為第二級以上的信息系統(tǒng)運(yùn)營使用單位或主管部門應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后（新建系統(tǒng)）或確定等級后（已運(yùn)營的系統(tǒng)）30日內(nèi)到公安機(jī)關(guān)辦理備案手續(xù)；鼓勵(lì)第一級和第五級的信息系統(tǒng)到公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？绲貐^(qū)或全省統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省級主管部門組織向省公安廳備案?？绲貐^(qū)、跨省或者全省、全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，向地級以上市公安局備案。涉密信息系統(tǒng)建設(shè)使用單位依據(jù)《管理辦法》和國家保密局的有關(guān)規(guī)定，到保密工作部門備案。（六）加強(qiáng)安全監(jiān)督檢查。公安機(jī)關(guān)應(yīng)當(dāng)會(huì)同有關(guān)部門加強(qiáng)對信息系統(tǒng)的監(jiān)督檢查，對未依法履行定級、備案手續(xù)的單位，督促其限期改正。發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)通知運(yùn)營使用單位或其主管部門重新審核確定。對安全措施不符合要求的，要指導(dǎo)其落實(shí)整改措施。各級保密工作部門加強(qiáng)對涉密信息系統(tǒng)安全等級保護(hù)工作的指導(dǎo)、監(jiān)督和檢查。國家密碼管理部門加強(qiáng)對信息安全等級保護(hù)密碼管理。（七）建設(shè)技術(shù)支撐體系。省公安廳會(huì)同有關(guān)部門根據(jù)《管理辦法》建立健全管理制度，向社會(huì)推薦一批符合要求的安全專用產(chǎn)品、安全測評機(jī)構(gòu)。組織開展繼續(xù)教育工作，加強(qiáng)對安全專業(yè)技術(shù)人員的培訓(xùn)，提高信息系統(tǒng)運(yùn)營使用單位和主管部門以及安全專用產(chǎn)品研發(fā)機(jī)構(gòu)、安全服務(wù)機(jī)構(gòu)安全專業(yè)技術(shù)人員的技術(shù)和法律知識水平。（八）健全長效工作機(jī)制。在信息安全等級保護(hù)職能部門、信息系統(tǒng)主管部門、運(yùn)營使用單位間建立暢通的聯(lián)絡(luò)機(jī)制。落實(shí)信息系統(tǒng)主管部門對運(yùn)營使用單位的監(jiān)督指導(dǎo)責(zé)任，建立職能部門、主管部門對信息系統(tǒng)的定期監(jiān)督檢查機(jī)制。爭取省人大和省政府法制辦公室支持，制訂《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》及實(shí)施細(xì)則，使信息安全等級保護(hù)工作獲得地方立法的支撐。第三篇：國家信息安全等級保護(hù)制度第三級要求 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺 防雷擊(G3)本項(xiàng)要求包括: a)機(jī)房建筑應(yīng)設(shè)置避雷裝置。b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷。c)機(jī)房應(yīng)設(shè)置交流電源地線。 防火(G3)本項(xiàng)要求包括: a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測火情、自動(dòng)報(bào)警,并自動(dòng)滅火。b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料。c)機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。 防水和防潮(G3)本項(xiàng)要求包括: a)水管安裝,不得穿過機(jī)房屋頂和活動(dòng)地板下。b)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透。c)應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。d)應(yīng)安裝對水敏感的檢測儀表或元件,對機(jī)房進(jìn)行防水檢測和報(bào)警。 防靜電(G3)本項(xiàng)要求包括: a)主要設(shè)備應(yīng)采用必要的接地防靜電措施。b)機(jī)房應(yīng)采用防靜電地板。 溫濕度控制(G3)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。 電力供應(yīng)(A3)本項(xiàng)要求包括: ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺 訪問控制(G3)本項(xiàng)要求包括: a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能。b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級。c)應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3 等協(xié)議命令級的控制。d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙。g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個(gè)用戶。h)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。 安全審計(jì)(G3)本項(xiàng)要求包括: a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄。b)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表。d)應(yīng)對審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。 邊界完整性檢查(S3)本項(xiàng)要求包括: a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對其進(jìn)行有效阻斷。b)應(yīng)能夠?qū)?nèi)部網(wǎng)