總則 

第 一條 為(wèi)規範信息安(ān)全等級保護管理(lǐ)，提高信息安(ān)全保障能(néng)力和水平，維護國(guó)家安(ān)全、社會穩定和公(gōng)共利益，保障和促進信息化建設，根據《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》等有(yǒu)關法律法規，制定本辦(bàn)法。 

第 二條 國(guó)家通過制定統一的信息安(ān)全等級保護管理(lǐ)規範和技(jì )術标準，組織公(gōng)民(mín)、法人和其他(tā)組織對信息系統分(fēn)等級實行安(ān)全保護，對等級保護工(gōng)作(zuò)的實施進行監督、管理(lǐ)。 

第 三條 公(gōng)安(ān)機關負責信息安(ān)全等級保護工(gōng)作(zuò)的監督、檢查、指導。國(guó)家保密工(gōng)作(zuò)部門負責等級保護工(gōng)作(zuò)中(zhōng)有(yǒu)關保密工(gōng)作(zuò)的監督、檢查、指導。國(guó)家密碼管理(lǐ)部門負責等級保護工(gōng)作(zuò)中(zhōng)有(yǒu)關密碼工(gōng)作(zuò)的監督、檢查、指導。涉及其他(tā)職能(néng)部門管轄範圍的事項，由有(yǒu)關職能(néng)部門依照國(guó)家法律法規的規定進行管理(lǐ)。國(guó)務(wù)院信息化工(gōng)作(zuò)辦(bàn)公(gōng)室及地方信息化領導小(xiǎo)組辦(bàn)事機構負責等級保護工(gōng)作(zuò)的部門間協調。 

第四條 信息系統主管部門應當依照本辦(bàn)法及相關标準規範，督促、檢查、指導本行業、本部門或者本地區(qū)信息系統運營、使用(yòng)單位的信息安(ān)全等級保護工(gōng)作(zuò)。 

第五條 信息系統的運營、使用(yòng)單位應當依照本辦(bàn)法及其相關标準規範，履行信息安(ān)全等級保護的義務(wù)和責任。 

第二章 等級劃分(fēn)與保護 

第六條 國(guó)家信息安(ān)全等級保護堅持自主定級、自主保護的原則。信息系統的安(ān)全保護等級應當根據信息系統在國(guó)家安(ān)全、經濟建設、社會生活中(zhōng)的重要程度，信息系統遭到破壞後對國(guó)家安(ān)全、社會秩序、公(gōng)共利益以及公(gōng)民(mín)、法人和其他(tā)組織的合法權益的危害程度等因素确定。 

第七條 信息系統的安(ān)全保護等級分(fēn)為(wèi)以下五級： 

信息系統受到破壞後，會對公(gōng)民(mín)、法人和其他(tā)組織的合法權益造成損害，但不損害國(guó)家安(ān)全、社會秩序和公(gōng)共利益。 

第二級，信息系統受到破壞後，會對公(gōng)民(mín)、法人和其他(tā)組織的合法權益産(chǎn)生嚴重損害，或者對社會秩序和公(gōng)共利益造成損害，但不損害國(guó)家安(ān)全。 

第三級，信息系統受到破壞後，會對社會秩序和公(gōng)共利益造成嚴重損害，或者對國(guó)家安(ān)全造成損害。 

第四級，信息系統受到破壞後，會對社會秩序和公(gōng)共利益造成特别嚴重損害，或者對國(guó)家安(ān)全造成嚴重損害。 

第五級，信息系統受到破壞後，會對國(guó)家安(ān)全造成特别嚴重損害。 

第八條 信息系統運營、使用(yòng)單位依據本辦(bàn)法和相關技(jì )術标準對信息系統進行保護，國(guó)家有(yǒu)關信息安(ān)全監管部門對其信息安(ān)全等級保護工(gōng)作(zuò)進行監督管理(lǐ)。 

信息系統運營、使用(yòng)單位應當依據國(guó)家有(yǒu)關管理(lǐ)規範和技(jì )術标準進行保護。 

第二級信息系統運營、使用(yòng)單位應當依據國(guó)家有(yǒu)關管理(lǐ)規範和技(jì )術标準進行保護。國(guó)家信息安(ān)全監管部門對該級信息系統信息安(ān)全等級保護工(gōng)作(zuò)進行指導。 

第三級信息系統運營、使用(yòng)單位應當依據國(guó)家有(yǒu)關管理(lǐ)規範和技(jì )術标準進行保護。國(guó)家信息安(ān)全監管部門對該級信息系統信息安(ān)全等級保護工(gōng)作(zuò)進行監督、檢查。 

第四級信息系統運營、使用(yòng)單位應當依據國(guó)家有(yǒu)關管理(lǐ)規範、技(jì )術标準和業務(wù)專門需求進行保護。國(guó)家信息安(ān)全監管部門對該級信息系統信息安(ān)全等級保護工(gōng)作(zuò)進行強制監督、檢查。 

第五級信息系統運營、使用(yòng)單位應當依據國(guó)家管理(lǐ)規範、技(jì )術标準和業務(wù)特殊安(ān)全需求進行保護。國(guó)家指定專門部門對該級信息系統信息安(ān)全等級保護工(gōng)作(zuò)進行專門監督、檢查。

第三章 等級保護的實施與管理(lǐ) 

第九條 信息系統運營、使用(yòng)單位應當按照《信息系統安(ān)全等級保護實施指南》具(jù)體(tǐ)實施等級保護工(gōng)作(zuò)。 

第十條 信息系統運營、使用(yòng)單位應當依據本辦(bàn)法和《信息系統安(ān)全等級保護定級指南》确定信息系統的安(ān)全保護等級。有(yǒu)主管部門的，應當經主管部門審核批準。 

跨省或者全國(guó)統一聯網運行的信息系統可(kě)以由主管部門統一确定安(ān)全保護等級。 

對拟确定為(wèi)第四級以上信息系統的，運營、使用(yòng)單位或者主管部門應當請國(guó)家信息安(ān)全保護等級專家評審委員會評審。 

第十一條 信息系統的安(ān)全保護等級确定後，運營、使用(yòng)單位應當按照國(guó)家信息安(ān)全等級保護管理(lǐ)規範和技(jì )術标準，使用(yòng)符合國(guó)家有(yǒu)關規定，滿足信息系統安(ān)全保護等級需求的信息技(jì )術産(chǎn)品，開展信息系統安(ān)全建設或者改建工(gōng)作(zuò)。 

第十二條 在信息系統建設過程中(zhōng)，運營、使用(yòng)單位應當按照《計算機信息系統安(ān)全保護等級劃分(fēn)準則》（GB17859-1999）、《信息系統安(ān)全等級保護基本要求》等技(jì )術标準，參照《信息安(ān)全技(jì )術 信息系統通用(yòng)安(ān)全技(jì )術要求》（GB/T20271-2006）、《信息安(ān)全技(jì )術 網絡基礎安(ān)全技(jì )術要求》（GB/T20270-2006）、《信息安(ān)全技(jì )術 操作(zuò)系統安(ān)全技(jì )術要求》（GB/T20272-2006）、《信息安(ān)全技(jì )術 數據庫管理(lǐ)系統安(ān)全技(jì )術要求》（GB/T20273-2006）、《信息安(ān)全技(jì )術 服務(wù)器技(jì )術要求》、《信息安(ān)全技(jì )術 終端計算機系統安(ān)全等級技(jì )術要求》（GA/T671-2006）等技(jì )術标準同步建設符合該等級要求的信息安(ān)全設施。 

第十三條 運營、使用(yòng)單位應當參照《信息安(ān)全技(jì )術 信息系統安(ān)全管理(lǐ)要求》（GB/T20269-2006）、《信息安(ān)全技(jì )術 信息系統安(ān)全工(gōng)程管理(lǐ)要求》（GB/T20282-2006）、《信息系統安(ān)全等級保護基本要求》等管理(lǐ)規範，制定并落實符合本系統安(ān)全保護等級要求的安(ān)全管理(lǐ)制度。 

第十四條 信息系統建設完成後，運營、使用(yòng)單位或者其主管部門應當選擇符合本辦(bàn)法規定條件的測評機構，依據《信息系統安(ān)全等級保護測評要求》等技(jì )術标準，定期對信息系統安(ān)全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安(ān)全需求進行等級測評。 

信息系統運營、使用(yòng)單位及其主管部門應當定期對信息系統安(ān)全狀況、安(ān)全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統應當每半年至少進行一次自查，第五級信息系統應當依據特殊安(ān)全需求進行自查。 

經測評或者自查，信息系統安(ān)全狀況未達到安(ān)全保護等級要求的，運營、使用(yòng)單位應當制定方案進行整改。 

第十五條 已運營（運行）的第二級以上信息系統，應當在安(ān)全保護等級确定後30日内，由其運營、使用(yòng)單位到所在地設區(qū)的市級以上公(gōng)安(ān)機關辦(bàn)理(lǐ)備案手續。 

新(xīn)建第二級以上信息系統，應當在投入運行後30日内，由其運營、使用(yòng)單位到所在地設區(qū)的市級以上公(gōng)安(ān)機關辦(bàn)理(lǐ)備案手續。 

隸屬于中(zhōng)央的在京單位，其跨省或者全國(guó)統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公(gōng)安(ān)部辦(bàn)理(lǐ)備案手續。跨省或者全國(guó)統一聯網運行的信息系統在各地運行、應用(yòng)的分(fēn)支系統，應當向當地設區(qū)的市級以上公(gōng)安(ān)機關備案。 

第十六條 辦(bàn)理(lǐ)信息系統安(ān)全保護等級備案手續時，應當填寫《信息系統安(ān)全等級保護備案表》，第三級以上信息系統應當同時提供以下材料： 

（一）系統拓撲結構及說明； 

（二）系統安(ān)全組織機構和管理(lǐ)制度； 

（三）系統安(ān)全保護設施設計實施方案或者改建實施方案； 

（四）系統使用(yòng)的信息安(ān)全産(chǎn)品清單及其認證、銷售許可(kě)證明； 

（五）測評後符合系統安(ān)全保護等級的技(jì )術檢測評估報告； 

（六）信息系統安(ān)全保護等級專家評審意見； 

（七）主管部門審核批準信息系統安(ān)全保護等級的意見。 

第十七條 信息系統備案後，公(gōng)安(ān)機關應當對信息系統的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工(gōng)作(zuò)日内頒發信息系統安(ān)全等級保護備案證明；發現不符合本辦(bàn)法及有(yǒu)關标準的，應當在收到備案材料之日起的10個工(gōng)作(zuò)日内通知備案單位予以糾正；發現定級不準的，應當在收到備案材料之日起的10個工(gōng)作(zuò)日内通知備案單位重新(xīn)審核确定。 

運營、使用(yòng)單位或者主管部門重新(xīn)确定信息系統等級後，應當按照本辦(bàn)法向公(gōng)安(ān)機關重新(xīn)備案。      

第十八條 受理(lǐ)備案的公(gōng)安(ān)機關應當對第三級、第四級信息系統的運營、使用(yòng)單位的信息安(ān)全等級保護工(gōng)作(zuò)情況進行檢查。對第三級信息系統每年至少檢查一次，對第四級信息系統每半年至少檢查一次。對跨省或者全國(guó)統一聯網運行的信息系統的檢查，應當會同其主管部門進行。 

對第五級信息系統，應當由國(guó)家指定的專門部門進行檢查。 

公(gōng)安(ān)機關、國(guó)家指定的專門部門應當對下列事項進行檢查： 

（一） 信息系統安(ān)全需求是否發生變化，原定保護等級是否準确； 

（二） 運營、使用(yòng)單位安(ān)全管理(lǐ)制度、措施的落實情況； 

（三） 運營、使用(yòng)單位及其主管部門對信息系統安(ān)全狀況的檢查情況； 

（四） 系統安(ān)全等級測評是否符合要求； 

（五） 信息安(ān)全産(chǎn)品使用(yòng)是否符合要求； 

（六） 信息系統安(ān)全整改情況； 

（七） 備案材料與運營、使用(yòng)單位、信息系統的符合情況； 

（八） 其他(tā)應當進行監督檢查的事項。 

第十九條 信息系統運營、使用(yòng)單位應當接受公(gōng)安(ān)機關、國(guó)家指定的專門部門的安(ān)全監督、檢查、指導，如實向公(gōng)安(ān)機關、國(guó)家指定的專門部門提供下列有(yǒu)關信息安(ān)全保護的信息資料及數據文(wén)件： 

（一） 信息系統備案事項變更情況； 

（二） 安(ān)全組織、人員的變動情況； 

（三） 信息安(ān)全管理(lǐ)制度、措施變更情況； 

（四） 信息系統運行狀況記錄； 

（五） 運營、使用(yòng)單位及主管部門定期對信息系統安(ān)全狀況的檢查記錄； 

（六） 對信息系統開展等級測評的技(jì )術測評報告； 

（七） 信息安(ān)全産(chǎn)品使用(yòng)的變更情況； 

（八） 信息安(ān)全事件應急預案，信息安(ān)全事件應急處置結果報告； 

（九） 信息系統安(ān)全建設、整改結果報告。 

第二十條 公(gōng)安(ān)機關檢查發現信息系統安(ān)全保護狀況不符合信息安(ān)全等級保護有(yǒu)關管理(lǐ)規範和技(jì )術标準的，應當向運營、使用(yòng)單位發出整改通知。運營、使用(yòng)單位應當根據整改通知要求，按照管理(lǐ)規範和技(jì )術标準進行整改。整改完成後，應當将整改報告向公(gōng)安(ān)機關備案。必要時，公(gōng)安(ān)機關可(kě)以對整改情況組織檢查。 

第二十一條 第三級以上信息系統應當選擇使用(yòng)符合以下條件的信息安(ān)全産(chǎn)品： 

（一）産(chǎn)品研制、生産(chǎn)單位是由中(zhōng)國(guó)公(gōng)民(mín)、法人投資或者國(guó)家投資或者控股的，在中(zhōng)華人民(mín)共和國(guó)境内具(jù)有(yǒu)獨立的法人資格； 

（二）産(chǎn)品的核心技(jì )術、關鍵部件具(jù)有(yǒu)我國(guó)自主知識産(chǎn)權； 

（三）産(chǎn)品研制、生産(chǎn)單位及其主要業務(wù)、技(jì )術人員無犯罪記錄； 

（四）産(chǎn)品研制、生産(chǎn)單位聲明沒有(yǒu)故意留有(yǒu)或者設置漏洞、後門、木(mù)馬等程序和功能(néng)； 

（五）對國(guó)家安(ān)全、社會秩序、公(gōng)共利益不構成危害； 

（六）對已列入信息安(ān)全産(chǎn)品認證目錄的，應當取得國(guó)家信息安(ān)全産(chǎn)品認證機構頒發的認證證書。 

第二十二條 第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測評： 

（一） 在中(zhōng)華人民(mín)共和國(guó)境内注冊成立（港澳台地區(qū)除外）； 

（二） 由中(zhōng)國(guó)公(gōng)民(mín)投資、中(zhōng)國(guó)法人投資或者國(guó)家投資的企事業單位（港澳台地區(qū)除外）； 

（三） 從事相關檢測評估工(gōng)作(zuò)兩年以上，無違法記錄； 

（四） 工(gōng)作(zuò)人員僅限于中(zhōng)國(guó)公(gōng)民(mín)； 

（五） 法人及主要業務(wù)、技(jì )術人員無犯罪記錄； 

（六） 使用(yòng)的技(jì )術裝(zhuāng)備、設施應當符合本辦(bàn)法對信息安(ān)全産(chǎn)品的要求； 

（七） 具(jù)有(yǒu)完備的保密管理(lǐ)、項目管理(lǐ)、質(zhì)量管理(lǐ)、人員管理(lǐ)和培訓教育等安(ān)全管理(lǐ)制度； 

（八） 對國(guó)家安(ān)全、社會秩序、公(gōng)共利益不構成威脅。 

第二十三條 從事信息系統安(ān)全等級測評的機構，應當履行下列義務(wù)： 

（一）遵守國(guó)家有(yǒu)關法律法規和技(jì )術标準，提供安(ān)全、客觀、公(gōng)正的檢測評估服務(wù)，保證測評的質(zhì)量和效果； 

（二）保守在測評活動中(zhōng)知悉的國(guó)家秘密、商(shāng)業秘密和個人隐私，防範測評風險； 

（三）對測評人員進行安(ān)全保密教育，與其簽訂安(ān)全保密責任書，規定應當履行的安(ān)全保密義務(wù)和承擔的法律責任，并負責檢查落實。

第四章 涉及國(guó)家秘密信息系統的分(fēn)級保護管理(lǐ) 

第二十四條 涉密信息系統應當依據國(guó)家信息安(ān)全等級保護的基本要求，按照國(guó)家保密工(gōng)作(zuò)部門有(yǒu)關涉密信息系統分(fēn)級保護的管理(lǐ)規定和技(jì )術标準，結合系統實際情況進行保護。 

非涉密信息系統不得處理(lǐ)國(guó)家秘密信息。 

第二十五條 涉密信息系統按照所處理(lǐ)信息的**密級，由低到高分(fēn)為(wèi)秘密、機密、絕密三個等級。 

涉密信息系統建設使用(yòng)單位應當在信息規範定密的基礎上，依據涉密信息系統分(fēn)級保護管理(lǐ)辦(bàn)法和國(guó)家保密标準BMB17-2006《涉及國(guó)家秘密的計算機信息系統分(fēn)級保護技(jì )術要求》确定系統等級。對于包含多(duō)個安(ān)全域的涉密信息系統，各安(ān)全域可(kě)以分(fēn)别确定保護等級。 

保密工(gōng)作(zuò)部門和機構應當監督指導涉密信息系統建設使用(yòng)單位準确、合理(lǐ)地進行系統定級。 

第二十六條 涉密信息系統建設使用(yòng)單位應當将涉密信息系統定級和建設使用(yòng)情況，及時上報業務(wù)主管部門的保密工(gōng)作(zuò)機構和負責系統審批的保密工(gōng)作(zuò)部門備案，并接受保密部門的監督、檢查、指導。 

第二十七條 涉密信息系統建設使用(yòng)單位應當選擇具(jù)有(yǒu)涉密集成資質(zhì)的單位承擔或者參與涉密信息系統的設計與實施。 

涉密信息系統建設使用(yòng)單位應當依據涉密信息系統分(fēn)級保護管理(lǐ)規範和技(jì )術标準，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分(fēn)級保護，其保護水平總體(tǐ)上不低于國(guó)家信息安(ān)全等級保護第三級、第四級、第五級的水平。 

第二十八條 涉密信息系統使用(yòng)的信息安(ān)全保密産(chǎn)品原則上應當選用(yòng)國(guó)産(chǎn)品，并應當通過國(guó)家保密局授權的檢測機構依據有(yǒu)關國(guó)家保密标準進行的檢測，通過檢測的産(chǎn)品由國(guó)家保密局審核發布目錄。 

第二十九條 涉密信息系統建設使用(yòng)單位在系統工(gōng)程實施結束後，應當向保密工(gōng)作(zuò)部門提出申請，由國(guó)家保密局授權的系統測評機構依據國(guó)家保密标準BMB22-2007《涉及國(guó)家秘密的計算機信息系統分(fēn)級保護測評指南》，對涉密信息系統進行安(ān)全保密測評。 

涉密信息系統建設使用(yòng)單位在系統投入使用(yòng)前，應當按照《涉及國(guó)家秘密的信息系統審批管理(lǐ)規定》，向設區(qū)的市級以上保密工(gōng)作(zuò)部門申請進行系統審批，涉密信息系統通過審批後方可(kě)投入使用(yòng)。已投入使用(yòng)的涉密信息系統，其建設使用(yòng)單位在按照分(fēn)級保護要求完成系統整改後，應當向保密工(gōng)作(zuò)部門備案。 

第三十條 涉密信息系統建設使用(yòng)單位在申請系統審批或者備案時，應當提交以下材料： 

（一）系統設計、實施方案及審查論證意見； 

（二）系統承建單位資質(zhì)證明材料； 

（三）系統建設和工(gōng)程監理(lǐ)情況報告； 

（四）系統安(ān)全保密檢測評估報告； 

（五）系統安(ān)全保密組織機構和管理(lǐ)制度情況； 

（六）其他(tā)有(yǒu)關材料。 

第三十一條 涉密信息系統發生涉密等級、連接範圍、環境設施、主要應用(yòng)、安(ān)全保密管理(lǐ)責任單位變更時，其建設使用(yòng)單位應當及時向負責審批的保密工(gōng)作(zuò)部門報告。保密工(gōng)作(zuò)部門應當根據實際情況，決定是否對其重新(xīn)進行測評和審批。 

第三十二條 涉密信息系統建設使用(yòng)單位應當依據國(guó)家保密标準BMB20-2007《涉及國(guó)家秘密的信息系統分(fēn)級保護管理(lǐ)規範》，加強涉密信息系統運行中(zhōng)的保密管理(lǐ)，定期進行風險評估，消除洩密隐患和漏洞。 

第三十三條 國(guó)家和地方各級保密工(gōng)作(zuò)部門依法對各地區(qū)、各部門涉密信息系統分(fēn)級保護工(gōng)作(zuò)實施監督管理(lǐ)，并做好以下工(gōng)作(zuò)： 

（一）指導、監督和檢查分(fēn)級保護工(gōng)作(zuò)的開展； 

（二）指導涉密信息系統建設使用(yòng)單位規範信息定密，合理(lǐ)确定系統保護等級； 

（三）參與涉密信息系統分(fēn)級保護方案論證，指導建設使用(yòng)單位做好保密設施的同步規劃設計； 

（四）依法對涉密信息系統集成資質(zhì)單位進行監督管理(lǐ)； 

（五）嚴格進行系統測評和審批工(gōng)作(zuò)，監督檢查涉密信息系統建設使用(yòng)單位分(fēn)級保護管理(lǐ)制度和技(jì )術措施的落實情況； 

（六）加強涉密信息系統運行中(zhōng)的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評，對絕密級信息系統每年至少進行一次保密檢查或者系統測評； 

（七）了解掌握各級各類涉密信息系統的管理(lǐ)使用(yòng)情況，及時發現和查處各種違規違法行為(wèi)和洩密事件。

 第五章 信息安(ān)全等級保護的密碼管理(lǐ) 

第三十四條 國(guó)家密碼管理(lǐ)部門對信息安(ān)全等級保護的密碼實行分(fēn)類分(fēn)級管理(lǐ)。根據被保護對象在國(guó)家安(ān)全、社會穩定、經濟建設中(zhōng)的作(zuò)用(yòng)和重要程度，被保護對象的安(ān)全防護要求和涉密程度，被保護對象被破壞後的危害程度以及密碼使用(yòng)部門的性質(zhì)等，确定密碼的等級保護準則。 

信息系統運營、使用(yòng)單位采用(yòng)密碼進行等級保護的，應當遵照《信息安(ān)全等級保護密碼管理(lǐ)辦(bàn)法》、《信息安(ān)全等級保護商(shāng)用(yòng)密碼技(jì )術要求》等密碼管理(lǐ)規定和相關标準。 

第三十五條 信息系統安(ān)全等級保護中(zhōng)密碼的配備、使用(yòng)和管理(lǐ)等，應當嚴格執行國(guó)家密碼管理(lǐ)的有(yǒu)關規定。 

第三十六條 信息系統運營、使用(yòng)單位應當充分(fēn)運用(yòng)密碼技(jì )術對信息系統進行保護。采用(yòng)密碼對涉及國(guó)家秘密的信息和信息系統進行保護的，應報經國(guó)家密碼管理(lǐ)局審批，密碼的設計、實施、使用(yòng)、運行維護和日常管理(lǐ)等，應當按照國(guó)家密碼管理(lǐ)有(yǒu)關規定和相關标準執行；采用(yòng)密碼對不涉及國(guó)家秘密的信息和信息系統進行保護的，須遵守《商(shāng)用(yòng)密碼管理(lǐ)條例》和密碼分(fēn)類分(fēn)級保護有(yǒu)關規定與相關标準，其密碼的配備使用(yòng)情況應當向國(guó)家密碼管理(lǐ)機構備案。 

第三十七條 運用(yòng)密碼技(jì )術對信息系統進行系統等級保護建設和整改的，必須采用(yòng)經國(guó)家密碼管理(lǐ)部門批準使用(yòng)或者準于銷售的密碼産(chǎn)品進行安(ān)全保護，不得采用(yòng)國(guó)外引進或者擅自研制的密碼産(chǎn)品；未經批準不得采用(yòng)含有(yǒu)加密功能(néng)的進口信息技(jì )術産(chǎn)品。 

第三十八條 信息系統中(zhōng)的密碼及密碼設備的測評工(gōng)作(zuò)由國(guó)家密碼管理(lǐ)局認可(kě)的測評機構承擔，其他(tā)任何部門、單位和個人不得對密碼進行評測和監控。 

第三十九條 各級密碼管理(lǐ)部門可(kě)以定期或者不定期對信息系統等級保護工(gōng)作(zuò)中(zhōng)密碼配備、使用(yòng)和管理(lǐ)的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用(yòng)和管理(lǐ)情況每兩年至少進行一次檢查和測評。在監督檢查過程中(zhōng)，發現存在安(ān)全隐患或者違反密碼管理(lǐ)相關規定或者未達到密碼相關标準要求的，應當按照國(guó)家密碼管理(lǐ)的相關規定進行處置。 

第六章 法律責任 

第四十條 第三級以上信息系統運營、使用(yòng)單位違反本辦(bàn)法規定，有(yǒu)下列行為(wèi)之一的，由公(gōng)安(ān)機關、國(guó)家保密工(gōng)作(zuò)部門和國(guó)家密碼工(gōng)作(zuò)管理(lǐ)部門按照職責分(fēn)工(gōng)責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他(tā)直接責任人員予以處理(lǐ)，并及時反饋處理(lǐ)結果： 

（一） 未按本辦(bàn)法規定備案、審批的； 

（二） 未按本辦(bàn)法規定落實安(ān)全管理(lǐ)制度、措施的； 

（三） 未按本辦(bàn)法規定開展系統安(ān)全狀況檢查的； 

（四） 未按本辦(bàn)法規定開展系統安(ān)全技(jì )術測評的； 

（五） 接到整改通知後，拒不整改的； 

（六） 未按本辦(bàn)法規定選擇使用(yòng)信息安(ān)全産(chǎn)品和測評機構的； 

（七） 未按本辦(bàn)法規定如實提供有(yǒu)關文(wén)件和證明材料的； 

（八） 違反保密管理(lǐ)規定的； 

（九） 違反密碼管理(lǐ)規定的； 

（十） 違反本辦(bàn)法其他(tā)規定的。 

違反前款規定，造成嚴重損害的，由相關部門依照有(yǒu)關法律、法規予以處理(lǐ)。 

第四十一條 信息安(ān)全監管部門及其工(gōng)作(zuò)人員在履行監督管理(lǐ)職責中(zhōng)，玩忽職守、濫用(yòng)職權、徇私舞弊的，依法給予行政處分(fēn)；構成犯罪的，依法追究刑事責任。 

第七章 附則 

第四十二條 已運行信息系統的運營、使用(yòng)單位自本辦(bàn)法施行之日起180日内确定信息系統的安(ān)全保護等級；新(xīn)建信息系統在設計、規劃階段确定安(ān)全保護等級。 

第四十三條 本辦(bàn)法所稱“以上”包含本數（級）。

第四十四條 本辦(bàn)法自發布之日起施行，《信息安(ān)全等級保護管理(lǐ)辦(bàn)法（試行）》（公(gōng)通字[2006]7号）同時廢止。