最新-信息安全等级保护制度

信息安全等级保护制度

第1条

为规范信息安全等级维护管理，提升信息安全保障能力与水平，保护国家安全、社会不乱与

公共利益，保障与增进信息化建设，按照《中华人民共与国计算机信息系统安全维护条例》

等相关法律法规，制订本办法。

第2条

国家通过制订统1的信息安全等级维护管理规范与技术准绳，组织公民、法人与其他组织对

于信息系统分等级履行安全维护，对于等级维护工作的施行进行监督、管理。

第3条

公安机关负责信息安全等级维护工作的监督、检查、指点。国家保密工作部门负责等级维护

工作中相关保密工作的监督、检查、指点。国家密码管理部门负责等级维护工作中相关密码

工作的监督、检查、指点。触及其他职能部门管辖规模的事项，由相关职能部门依照国家法

律法规的规定进行管理。国务院信息化工作办公室及处所信息化领导小组办事机构负责等级

维护工作的部门间调和。

第4条

信息系统主管部门应该依照本办法及有关准绳规范，督促、检查、指点本行业、本部门或者

者本地区信息系统运营、使用单位的信息安全等级维护工作。

第5条

信息系统的运营、使用单位应该依照本办法及其有关准绳规范，实行信息安全等级维护的义

务与职责。

第2章等级划分和维护

第6条

国家信息安全等级维护坚强自主定级、自主维护的原则。信息系统的安全维护等级应该按照

信息系统在国家安全、经济建设、社会糊口中的首要程度，信息系统受到损坏后对于国家安

全、社会秩序、公共利益以及公民、法人与其他组织的合法权益的危害程度等因素肯定。

第7条

信息系统的安全维护等级分为下列5级：

第1级，信息系统遭到损坏后，会对于公民、法人与其他组织的合法权益造成侵害，但不侵

害国家安全、社会秩序与公共利益。

第2级，信息系统遭到损坏后，会对于公民、法人与其他组织的合法权益发生严重侵害，或

者者对于社会秩序与公共利益造成侵害，但不侵害国家安全。

第3级，信息系统遭到损坏后，会对于社会秩序与公共利益造成严重侵害，或者者对于国家

安全造成侵害。

第4级，信息系统遭到损坏后，会对于社会秩序与公共利益造成特殊严重侵害，或者者对于

国家安全造成严重侵害。

第5级，信息系统遭到损坏后，会对于国家安全造成特殊严重侵害。

第8条

信息系统运营、使用单位依据本办法与有关技术准绳对于信息系统进行维护，国家相关信息

安全监管部门对于其信息安全等级维护工作进行监督管理。

第1级信息系统运营、使用单位应该依据国家相关管理规范与技术准绳进行维护。

第2级信息系统运营、使用单位应该依据国家相关管理规范与技术准绳进行维护。国家信息

安全监管部门对于该级信息系统信息安全等级维护工作进行指点。

第3级信息系统运营、使用单位应该依据国家相关管理规范与技术准绳进行维护。国家信息

安全监管部门对于该级信息系统信息安全等级维护工作进行监督、检查。

第4级信息系统运营、使用单位应该依据国家相关管理规范、技术准绳与业务专门需求进行

维护。国家信息安全监管部门对于该级信息系统信息安全等级维护工作进行强制监督、检查。

第5级信息系统运营、使用单位应该依据国家管理规范、技术准绳与业务特别安全需求进行

维护。国家指定专门部门对于该级信息系统信息安全等级维护工作进行专门监督、检查。

第3章等级维护的施行和管理

第9条

信息系统运营、使用单位应该根据《信息系统安全等级维护施行指南》具体施行等级维护工

作。

第10条

信息系统运营、使用单位应该依据本办法与《信息系统安全等级维护定级指南》肯定信息系

统的安全维护等级。有主管部门的，应该经主管部门审核批准。

跨省或者者全国统1联网运行的信息系统可以由主管部门统1肯定安全维护等级。

对于拟肯定为第4级以上信息系统的，运营、使用单位或者者主管部门应该请国家信息安全

维护等级专家评审委员会评审。

第101条

信息系统的安全维护等级肯定后，运营、使用单位应该根据国家信息安全等级维护管理规范

与技术准绳，使用相符国家相关规定，知足信息系统安全维护等级需求的信息技术产品，展

开信息系统安全建设或者者改建工作。

第102条

在信息系统建设进程中，运营、使用单位应该根据《计算机信息系统安全维护等级划分准则》

（GB一七八五九⑴九九九）、《信息系统安全等级维护基本想求》等技术准绳，参照《信息安

全技术信息系统通用安全技术想求》（GB/T二0二七一⑴00六）、《信息安全技术网络基础

安全技术想求》（GB/T二0二七0⑴00六）、《信息安全技术操作系统安全技术想求》（GB/T

二0二七二⑴00六）、《信息安全技术数据库管理系统安全技术想求》（GB/T二0二七三⑴00

六）、《信息安全技术服务器技术想求》、《信息安全技术终端计算机系统安全等级技术想求》

（GA/T六七一⑴00六）等技术准绳同步建设相符该等级想求的信息安全设施。

第103条

运营、使用单位应该参照《信息安全技术信息系统安全管理想求》（GB/T二0二六九⑴00

六）、《信息安全技术信息系统安全工程管理想求》（GB/T二0二八二⑴00六）、《信息系统

安全等级维护基本想求》等管理规范，制订并落实相符本系统安全维护等级想求的安全管理

轨制。

第104条

信息系统建设完成后，运营、使用单位或者者其主管部门应该选择相符本办法规定前提的测

评机构，依据《信息系统安全等级维护测评想求》等技术准绳，按期对于信息系统安全等级

状态展开等级测评。第3级信息系统应该每一年至少进行1个等级测评，第4级信息系统应

该每一半年至少进行1个等级测评，第5级信息系统应该依据特别安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应该按期对于信息系统安全状态、安全维护轨制及措

施的落实情况进行自查。第3级信息系统应该每一年至少进行1个自查，第4级信息系统应

该每一半年至少进行1个自查，第5级信息系统应该依据特别安全需求进行自查。

经测评或者者自查，信息系统安全状态未到达安全维护等级想求的，运营、使用单位应该制

订方案进行整改。

第105条

已经运营（运行）或者新建的第2级以上信息系统，应该在安全维护等级肯定后三0日内，

由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者者全国统1联网运行并由主管部门统必定级的信息系统，

由主管部门向公安部办理备案手续。跨省或者者全国统1联网运行的信息系统在各地运行、

利用的分支系统，应该向当地设区的市级以上公安机关备案。

第106条

办理信息系统安全维护等级备案手续时，应该填写《信息系统安全等级维护备案表》，第3

级以上信息系统应该同时提供下列材料：

（1）系统拓扑结构及说明；

（2）系统安全组织机构与管理轨制；

（3）系统安全维护设施设计施行方案或者者改建施行方案；

（4）系统使用的信息安全产品清单及其认证、销售许可证明；

（5）测评后相符系统安全维护等级的技术检测评估讲演；

（6）信息系统安全维护等级专家评审意见；

（7）主管部门审核批准信息系统安全维护等级的意见。

第107条

信息系统备案后，公安机关应该对于信息系统的备案情况进行审核，对于相符等级维护想求

的，应该在收到备案材料之日起的一0次工作日内颁发信息系统安全等级维护备案证明；发

现不相符本办法及相关准绳的，应该在收到备案材料之日起的一0次工作日内通知备案单位

予以纠正；发现定级不许的，应该在收到备案材料之日起的一0次工作日内通知备案单位从

新审核肯定。

运营、使用单位或者者主管部门从新肯定信息系统等级后，应该根据本办法向公安机关从新

备案。

第108条

受理备案的公安机关应该对于第3级、第4级信息系统的运营、使用单位的信息安全等级维

护工作情况进行检查。对于第3级信息系统每一年至少检查1个，对于第4级信息系统每一

半年至少检查1个。对于跨省或者者全国统1联网运行的信息系统的检查，应该会同其主管

部门进行。

对于第5级信息系统，应该由国家指定的专门部门进行检查。

公安机关、国家指定的专门部门应该对于以下事项进行检查：

（1）信息系统安全需求是不是产生变化，原定维护等级是不是准确；

（2）运营、使用单位安全管理轨制、措施的落实情况；

（3）运营、使用单位及其主管部门对于信息系统安全状态的检查情况；

（4）系统安全等级测评是不是相符想求；

（5）信息安全产品使用是不是相符想求；

（6）信息系统安全整改情况；

（7）备案材料和运营、使用单位、信息系统的相符情况；

（8）其他应该进行监督检查的事项。

第109条

信息系统运营、使用单位应该接受公安机关、国家指定的专门部门的安全监督、检查、指点，

照实向公安机关、国家指定的专门部门提供以下相关信息安全维护的信息资料及数据文件：

（1）信息系统备案事项变更情况；

（2）安全组织、人员的变动情况；

（3）信息安全管理轨制、措施变更情况；

（4）信息系统运行状态记录；

（5）运营、使用单位及主管部门按期对于信息系统安全状态的检查记录；

（6）对于信息系统展开等级测评的技术测评讲演；

（7）信息安全产品使用的变更情况；

（8）信息安全事件应急预案，信息安全事件应急处置结果讲演；

（9）信息系统安全建设、整改结果讲演。

第210条

公安机关检查发现信息系统安全维护状态不相符信息安全等级维护相关管理规范与技术准

绳的，应该向运营、使用单位发出整改通知。运营、使用单位应该按照整改通知想求，根据

管理规范与技术准绳进行整改。整改完成后，应该将整改讲演向公安机关备案。必想时，公

安机关可以对于整改情况组织检查。

第2101条

第3级以上信息系统应该选择使用相符下列前提的信息安全产品：

（1）产品研制、出产单位是由中国公民、法人投资或者者国家投资或者者控股的，在中华

人民共与国境内拥有独立的法人资历；

（2）产品的核心技术、症结部件拥有我国自主知识产权；

（3）产品研制、出产单位及其主想业务、技术人员无犯法记录；

（4）产品研制、出产单位表态没有故意留有或者者设置漏洞、后门、木马等程序与功能；

（5）对于国家安全、社会秩序、公共利益不形成危害；

（6）对于已经列入信息安全产品认证目录的，应该获得国家信息安全产品认证机构颁发的

认证证书。

第2102条

第3级以上信息系统应该选择相符以下前提的等级维护测评机构进行测评：

（1）在中华人民共与国境内注册成立（港澳台地区除了外）；

（2）由中国公民投资、中国法人投资或者者国家投资的企事业单位（港澳台地区除了外）；

（3）从事有关检测评估工作两年以上，无背法记录；

（4）工作人员仅仅限于中国公民；

（5）法人及主想业务、技术人员无犯法记录；

（6）使用的技术设备、设施应该相符本办法对于信息安全产品的想求；

（7）拥有完备的保密管理、项目管理、质量管理、人员管理与培训教育等安全管理轨制；

（8）对于国家安全、社会秩序、公共利益不形成要挟。

第2103条

从事信息系统安全等级测评的机构，应该实行以下义务：

（1）遵照国家相关法律法规与技术准绳，提供安全、客观、公正的检测评估服务，确保测

评的质量与效果；

（2）守旧在测评活动中知悉的国家秘密、商业秘密与次人隐私，防范测评风险；

（3）对于测评人员进行安全保密教育，和其签订安全保密职责书，规定应该实行的安全保

密义务与承当的法律职责，并负责检查落实。

第4章涉密信息系统的分级维护管理

第2104条

涉密信息系统应该依据国家信息安全等级维护的基本想求，根据国家保密工作部门相关涉密

信息系统分级维护的管理规定与技术准绳，结合系统现实情况进行维护。

非涉密信息系统不患上处理国家秘密信息等。

第2105条

涉密信息系统根据所处理信息的最高密级，由低到高分为秘密、秘要、绝密3次等级。

涉密信息系统建设使用单位应该在信息规范定密的基础上，依据涉密信息系统分级维护管理

办法与国家保密准绳BMB一七⑴00六《触及国家秘密的计算机信息系统分级维护技术想求》

肯定系统等级。对于于包括多次安全域的涉密信息系统，各安全域可以分别肯定维护等级。

保密工作部门与机构应该监督指点涉密信息系统建设使用单位准确、公道地进行系统定级。

第2106条

涉密信息系统建设使用单位应该将涉密信息系统定级与建设使用情况，及时上报业务主管部

门的保密工作机构与负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指

点。

第2107条

涉密信息系统建设使用单位应该选择拥有涉密集成资质的单位承当或者者介入涉密信息系

统的设计和施行。

涉密信息系统建设使用单位应该依据涉密信息系统分级维护管理规范与技术准绳，根据秘密、

秘要、绝密3级的不同想求，结合系统现实进行方案设计，施行分级维护，其维护水平整体

上不低于国家信息安全等级维护第3级、第4级、第5级的水平。

第2108条

涉密信息系统使用的信息安全保密产品原则上应该选用国产品，并应该通过国家保密局授权

的检测机构依据相关国家保密准绳进行的检测，通过检测的产品由国家保密局审核发布目录。

第2109条

涉密信息系统建设使用单位在系统工程施行收场后，应该向保密工作部门提出申请，由国家

保密局授权的系统测评机构依据国家保密准绳BMB二二⑴00七《触及国家秘密的计算机信

息系统分级维护测评指南》，对于涉密信息系统进行安全保密测评。

涉密信息系统建设使用单位在系统投入使用前，应该根据《触及国家秘密的信息系统审批管

理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方

可投入使用。已经投入使用的涉密信息系统，其建设使用单位在根据分级维护想求完成系统

整改后，应该向保密工作部门备案。

第310条

涉密信息系统建设使用单位在申请系统审批或者者备案时，应该提交下列材料：

（1）系统设计、施行方案及审查论证意见；

（2）系统承建单位资质证明材料；

（3）系统建设与工程监理情况讲演；

（4）系统安全保密检测评估讲演；

（5）系统安全保密组织机构与管理轨制情况；

（6）其他相关材料。

第3101条

涉密信息系统产生涉密等级、连接规模、环境设施、主想利用、安全保密管理职责单位变更

时，其建设使用单位应该及时向负责审批的保密工作部门讲演。保密工作部门应该按照现实

情况，抉择是不是对于其从新进行测评与审批。

第3102条

涉密信息系统建设使用单位应该依据国家保密准绳BMB二0⑴00七《触及国家秘密的信息系

统分级维护管理规范》，强化涉密信息系统运行中的保密管理，按期进行风险评估，解除泄

密隐患与漏洞。

第3103条

国家与处所各级保密工作部门依法对于各地区、各部门涉密信息系统分级维护工作施行监督

管理，并当好下列工作：

（1）指点、监督与检查分级维护工作的展开；

（2）指点涉密信息系统建设使用单位规范信息定密，公道肯定系统维护等级；

（3）介入涉密信息系统分级维护方案论证，指点建设使用单位当好保密设施的同步计划设

计；

（4）依法对于涉密信息系统集成资质单位进行监督管理；

（5）严格进行系统测评与审批工作，监督检查涉密信息系统建设使用单位分级维护管理轨

制与技术措施的落实情况；

（6）强化涉密信息系统运行中的保密监督检查。对于秘密级、秘要级信息系统每一两年至

少进行1个保密检查或者者系统测评，对于绝密级信息系统每一年至少进行1个保密检查或

者者系统测评；

（7）掌握了解各级各类涉密信息系统的管理使用情况，及时发现与查处各种背规背法行动

与泄密事件。

第5章信息安全等级维护的密码管理

第3104条

国家密码管理部门对于信息安全等级维护的密码履行分类分级管理。按照被维护对于象在国

家安全、社会不乱、经济建设中的作用与首要程度，被维护对于象的安全防护想乞降涉密程

度，被维护对于象被损坏后的危害程度以及密码使用部门的性质等，肯定密码的等级维护准

则。

信息系统运营、使用单位采取密码进行等级维护的，应该遵守《信息安全等级维护密码管理

办法》、《信息安全等级维护商用密码技术想求》等密码管理规定与有关准绳。

第3105条

信息系统安全等级维护中密码的配备、使用与管理等，应该严格执行国家密码管理的相关规

定。

第3106条

信息系统运营、使用单位应该充沛运用密码技术对于信息系统进行维护。采取密码对于触及

国家秘密的信息与信息系统进行维护的，应报经国家密码管理局审批，密码的设计、施行、

使用、运行保护与日常管理等，应该根据国家密码管理相关规定与有关准绳执行；采取密码

对于不触及国家秘密的信息与信息系统进行维护的，须遵照《商用密码管理条例》与密码分

类分级维护相关规定和有关准绳，其密码的配备使用情况应该向国家密码管理机构备案。

第3107条

运用密码技术对于信息系统进行系统等级维护建设与整改的，必需采取经国家密码管理部门

批准使用或者者准于销售的密码产品进行安全维护，不患上采取国外引进或者者擅自研制的

密码产品；未经批准不患上采取含有加密功能的进口信息技术产品。

第3108条

信息系统中的密码及密码装备的测评工作由国家密码管理局认同的测评机构承当，其他任何

部门、单位与次人不患上对于密码进行评测与监控。

第3109条

各级密码管理部门可以按期或者者不按期对于信息系统等级维护工作中密码配备、使用与管

理的情况进行检查与测评，对于首要涉密信息系统的密码配备、使用与管理情况每一两年至

少进行1个检查与测评。在监督检查进程中，发现存在安全隐患或者者背反密码管理有关规

定或者者未到达密码有关准绳想求的，应该根据国家密码管理的有关规定进行处置。

第6章法律职责

第410条

第3级以上信息系统运营、使用单位背反本办法规定，有以下行动之1的，由公安机关、国

家保密工作部门与国家密码工作管理部门根据责任分工责令其限期矫正；逾期不矫正的，给

予正告，并向其上级主管部门通报情况，建议对于其直接负责的主管人员与其他直接职责人

员予以处理，并及时反馈处理结果：

（1）未按本办法规定备案、审批的；

（2）未按本办法规定落实安全管理轨制、措施的；

（3）未按本办法规定展开系统安全状态检查的；

（4）未按本办法规定展开系统安全技术测评的；

（5）接到整改通知后，拒不整改的；

（6）未按本办法规定选择使用信息安全产品与测评机构的；

（7）未按本办法规定照实提供相关文件与证明材料的；

（8）背反保密管理规定的；

（9）背反密码管理规定的；

（10）背反本办法其他规定的。

背反前款规定，造成严重侵害的，由有关部门依照相关法律、法规予以处理。

第4101条

信息安全监管部门及其工作人员在实行监督管理责任中，玩忽职守、滥用职权、徇私舞弊的，

依法给予行政处罚；形成犯法的，依法追究刑事职责。[一]

第7章附则

第4102条

已经运行信息系统的运营、使用单位自本办法实施之日起一八0日内肯定信息系统的安全维

护等级；新建信息系统在设计、计划阶段肯定安全维护等级。

第4103条

本办法所称“以上”包括本数（级）。

第4104条

本办法自发布之日起实施，《信息安全等级维护管理办法（试行）》（公通字[二00六]七号）

同时废除。