第一章 總 則

第一條 為加強信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等國家有關法律法規,制定本辦法。

第二條 信息安全等級保護,是指對國家秘密信息及公民、法人和其他組織的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。

第三條 信息系統的安全保護等級應當根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度,信息和信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,信息和信息系統應當達到的基本的安全保護水平等因素確定。

第四條 信息系統的安全保護等級分為以下五級：
(一) 第一級為自主保護級,適用于一般的信息系統,其受到破壞后,會對公民、法人和其他組織的合法權益產生損害,但不損害國家安全、社會秩序和公共利益。
(二) 第二級為指導保護級,適用于一般的信息系統,其受到破壞后,會對社會秩序和公共利益造成輕微損害,但不損害國家安全。
(三) 第三級為監督保護級,適用于涉及國家安全、社會秩序和公共利益的重要信息系統,其受到破壞后,會對國家安全、社會秩序和公共利益造成損害。
(四) 第四級為強制保護級,適用于涉及國家安全、社會秩序和公共利益的重要信息系統,其受到破壞后,會對國家安全、社會秩序和公共利益造成嚴重損害。
(五) 第五級為專控保護級,適用于涉及國家安全、社會秩序和公共利益的重要信息系統的核心子系統,其受到破壞后,會對國家安全、社會秩序和公共利益造成特別嚴重損害。

第五條 信息系統,運營、使用單位及個人依據本辦法和相關技術標準對信息系統進行保護,國家有關信息安全職能部門對其信息安全等級保護工作進行監督管理。
(一) 第一級信息系統運營、使用單位或者個人可以依據國家管理規范和技術標準進行保護。
(二) 第二級信息系統運營、使用單位應當依據國家管理規范和技術標準進行保護。必要時,國家有關信息安全職能部門可以對其信息安全等級保護工作進行指導。
(三) 第三級信息系統運營、使用單位應當依據國家管理規范和技術標準進行保護,國家有關信息安全職能部門對其信息安全等級保護工作進行監督、檢查。
(四) 第四級信息系統運營、使用單位應當依據國家管理規范和技術標準進行保護,國家有關信息安全職能部門對其信息安全等級保護工作進行強制監督、檢查。
(五) 第五級信息系統運營、使用單位應當依據國家管理規范和技術標準進行保護, 國家指定的專門部門或者專門機構對其信息安全等級保護工作進行專門監督、檢查。

第六條 公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼;工作的監督、檢查、指導。
涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門問協調。

第二章 信息安全等級保護的安全管理

第七條 信息系統的運營、使用單位應當依據本辦法和有關標準，確定信息系統的安全保護等級。有主管部門的,應當報主管部門審核批準。

第八條 信息系統的運營、使用單位應當根據已確定的安全保護等級，依照本辦法和有關技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求得信息技術產品，進行信息系統建設。

第九條 信息系統得運營、使用單位應當履行下列安全等級保護職責：
（一） 落實信息安全等級保護的責任部門和人員，負責信息系統的安全等級保護管理工作；
（二） 建立健全安全等級保護管理制度；
（三） 落實安全等級保護技術標準要求；
（四） 定期進行安全狀況檢測和風險評估；
（五） 建立信息安全事件的等級響應、處置制度；
（六） 負責對信息系統用戶的安全等級保護教育和培訓；
（七） 其他應當履行的安全等級保護職責。

第十條 信息系統建設完成后，其運營、使用單位應當依據本辦法選擇具有國家相關技術資質和安全資質的測評單位，按照技術標準進行安全測評，符合要求的，方可投入使用。

第十一條 從事信息系統安全等級測評的單位，應當遵守國家有關法律法規和技術標準規定，保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，提供安全、客觀、公正的檢測評估服務。
測評單位資質管理辦法由有關部門另行制定。

第十二條 第三級以上信息系統的運營、使用單位應當自系統投入運行之日起三十日內,到所在地的省、自治區、直轄市公安機關指定的受理機構辦理備案手續,填寫《信息系統安全保護等級備案登記表》。國家另有規定的除外。
備案事項發生變更時,信息系統運營、使用單位或其主管部門應當自變更之日起三十日內將變更情況報原備案機關。

第十三條 公安機關應當掌握信息系統運營、使用單位的備案情況,建立備案檔案,進行備案管理。發現不符合本辦法及有關標準的,應通知其予以糾正。

第十四條 公安機關應當監督、檢查第三級和第四級信息系統運營、使用單位履行安全等級保護職責的情況。
對安全保護等級為三級的信息系統每年至少檢查一次,對安全保護等級為四級的信息系統每半年至少檢查一次。

第十五條 公安機關發現信息系統運營、使用單位未履行安全等級保護職責或未達到安全保護要求的,應當書面通知其整改。

第三章 信息安全等級保護的保密管理

第十六條 涉及國家秘密的信息系統應當依據國家信息安全等級保護的基本要求,按照國家保密工作部門涉密信息系統分級保護的管理規定和技術標準,結合系統實際情況進行保護。
不涉及國家秘密的信息系統不得處理國家秘密信息。

第十七條 涉及國家秘密的信息系統按照所處理信息的最高密級,由低到高劃分為秘密級、機密級和絕密級三個級別,其總體防護水平分別不低于三級、四級、五級的要求。
涉及國家秘密的信息系統建設單位應當依據《中華人民共和國保守國家秘密法》和國家有關秘密及其密級具體范圍的規定,確定系統處理信息的最高密級和系統的保護級別。

第十八條 涉及國家秘密的信息系統的設計實施、審批備案、運行維護和日常保密管理,按照國家保密工作部門的有關規定和技術標準執行。

第十九條 各級保密工作部門應當對已投入使用的涉及國家秘密的信息系統組織檢查和測評。發現系統存在安全隱患或系統保護措施不符合分級保護管理規定和技術標準的,應當通知系統使用單位和管理部門限期整改。
對秘密級、機密級信息系統,每兩年至少進行一次保密檢查或系統測評;對絕密級信息系統,每年至少進行一次保密檢查或系統測評。

第四章 信息安全等級保護的密碼管理

第二十條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質等,確定密碼的等級保護準則。
信息系統運營、使用單位采用密碼進行等級保護的,應當遵照信息安全等級保護密碼管理規定和相關標準。

第二十一條 信息系統安全等級保護中密碼的配備、使用和管理等,應嚴格執行國家密碼管理的有關規定。

第二十二條 要充分運用密碼技術對信息系統進行保護。
采用密碼對涉及國家秘密的信息和信息系統進行保護的,密碼的設計、實施、使用、運行維護和日常管理等,應當按照國家密碼管理有關規定和相關標準執行;采用密碼對不涉及國家秘密的信息和信息系統進行保護的,須遵照《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準。

第二十三條 各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評b在監督檢查過程中,發現存在安全隱患或違反密碼管理相關規定或者未達到密碼相關標準要求的,按照國家密碼管理的相關規定進行處置。

第五章 法律責任

第二十四條 三級、四級信息系統和涉及國家秘密的信息系統的主管部門和運營、使用單位違反本辦法規定,有下列行為之一造成嚴重損害的，由相關部門依照有關法律、法規予以處理：
(一) 未按本辦法規定報請備案、審批的;
(二) 未按等級保護技術標準要求進行系統安全制度建設的;
(三) 接到整改通知后,拒不整改的;
(四) 違反保密管理規定的;
(五) 違反密碼管理規定的;
(六) 違反本辦法其他規定的。

第六章 附 則

第二十五條 軍隊的計算機信息系統安全保護工作,按照軍隊的有關法規執行。

第二十六條 本管理辦法自2006年3月1日起施行。