【正文】 、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位應(yīng)當(dāng)制定方案進行整改。第十五條 已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。第十六條 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料：（一）系統(tǒng)拓撲結(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機構(gòu)和管理制度；（三）系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；（五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；（六）信息系統(tǒng)安全保護等級專家評審意見；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。第十七條 信息系統(tǒng)備案后，公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機關(guān)重新備案。第十八條 受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管部門進行。對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進行檢查。公安機關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進行檢查：（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準(zhǔn)確；（二）運營、使用單位安全管理制度、措施的落實情況；（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；（四）系統(tǒng)安全等級測評是否符合要求；（五）信息安全產(chǎn)品使用是否符合要求；（六）信息系統(tǒng)安全整改情況；（七）備案材料與運營、使用單位、信息系統(tǒng)的符合情況；（八）其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。第十九條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件：（一）信息系統(tǒng)備案事項變更情況；（二）安全組織、人員的變動情況；（三）信息安全管理制度、措施變更情況；（四）信息系統(tǒng)運行狀況記錄；（五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；（六）對信息系統(tǒng)開展等級測評的技術(shù)測評報告；（七）信息安全產(chǎn)品使用的變更情況；（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告；（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。第二十條 公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行整改。整改完成后，應(yīng)當(dāng)將整改報告向公安機關(guān)備案。必要時，公安機關(guān)可以對整改情況組織檢查。第二十一條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；（六）對已列入信息安全產(chǎn)品認證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。第二十二條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護測評機構(gòu)進行測評：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）（四）（五）從事相關(guān)檢測評估工作兩年以上，無違法記錄； 工作人員僅限于中國公民；法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求；（七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。第二十三條 從事信息系統(tǒng)安全等級測評的機構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風(fēng)險；（三）對測評人員進行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負責(zé)檢查落實。第四章 涉及國家秘密信息系統(tǒng)的分級保護管理第二十四條 涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實際情況進行保護。非涉密信息系統(tǒng)不得處理國家秘密信息。第二十五條 涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機 密、絕密三個等級。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標(biāo)準(zhǔn)BMB172006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護等級。保密工作部門和機構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進行系統(tǒng)定級。第二十六條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用情況，及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。第二十七條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機密、絕密三級的不同要求，結(jié)合系統(tǒng)實際進行方案設(shè)計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。第二十八條 涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品，并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。第二十九條 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB222007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》，對涉密信息系統(tǒng)進行安全保密測評。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。第三十條 涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時，應(yīng)當(dāng)提交以下材料：（一）系統(tǒng)設(shè)計、實施方案及審查論證意見；（二）系統(tǒng)承建單位資質(zhì)證明材料；（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報告；（四）系統(tǒng)安全保密檢測評估報告；（五）系統(tǒng)安全保密組織機構(gòu)和管理制度情況；（六）其他有關(guān)材料。第三十一條 涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時，其建設(shè)使用單位應(yīng)當(dāng)及時向負責(zé)審批的保密工作部門報告。保密工作部門應(yīng)當(dāng)根據(jù)實際情況，決定是否對其重新進行測評和審批。第三十二條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB202007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密信息系統(tǒng)運行中的保密管理，定期進行風(fēng)險評估，消除泄密隱患和漏洞。第三十三條 國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理，并做好以下工作：（一）指導(dǎo)、監(jiān)督和檢查分級保護工作的開展；（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護等級；（三）參與涉密信息系統(tǒng)分級保護方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計；（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理；（五）嚴格進行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況；（六）加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評；（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章 信息安全等級保護的密碼管理第三十四條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性 質(zhì)等，確定密碼的等級保護準(zhǔn)則。信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應(yīng)當(dāng)遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十五條 信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴格執(zhí)行國家密碼管理的有關(guān)規(guī)定。第三十六條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)充分運用密碼技術(shù)對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的，應(yīng)報經(jīng)國家密碼管理局審批，密碼的設(shè)計、實施、使用、運行維護和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機構(gòu)備案。第三十七條運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的，必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進行安全保護，不得采用國外引進或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。第三十八條信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔(dān)，其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。第三十九條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進行處置。第六章 法律責(zé)任第四十條 第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時反饋處理結(jié)果：（一）未按本辦法規(guī)定備案、審批的；（二）未按本辦法規(guī)定落實安全管理制度、措施的；（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的；（五）接到整改通知后，拒不整改的；（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的；（七）未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的；（八）違反保密管理規(guī)定的；（九）違反密碼管理規(guī)定的；（十）違反本辦法其他規(guī)定的。違反前款規(guī)定，造成嚴重損害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第四十一條 信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。第七章 附則第四十二條 已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級；新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。第四十三條 本辦法所稱“以上”包含本數(shù)（級）。第四十四條 本辦法自發(fā)布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時廢止。