信息安全等級保護管理辦法

（2007年6月22日 公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室  公通字〔2007〕43號）

第一章 總則

第一條為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會(huì )穩定和公共利益，保障和促進(jìn)信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關(guān)法律法規，制定本辦法。

第二條國家通過(guò)制定統一的信息安全等級保護管理規范和技術(shù)標準，組織公民、法人和其他組織對信息系統分等級實(shí)行安全保護，對等級保護工作的實(shí)施進(jìn)行監督、管理。

第三條公安機關(guān)負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門(mén)負責等級保護工作中有關(guān)保密工作的監督、檢查、指導。國家密碼管理部門(mén)負責等級保護工作中有關(guān)密碼工作的監督、檢查、指導。涉及其他職能部門(mén)管轄范圍的事項，由有關(guān)職能部門(mén)依照國家法律法規的規定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導小組辦事機構負責等級保護工作的部門(mén)間協(xié)調。

第四條信息系統主管部門(mén)應當依照本辦法及相關(guān)標準規范，督促、檢查、指導本行業(yè)、本部門(mén)或者本地區信息系統運營(yíng)、使用單位的信息安全等級保護工作。

第五條信息系統的運營(yíng)、使用單位應當依照本辦法及其相關(guān)標準規范，履行信息安全等級保護的義務(wù)和責任。

第二章 等級劃分與保護

第六條國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度，信息系統遭到破壞后對國家安全、社會(huì )秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

第七條信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會(huì )秩序和公共利益。

第二級，信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會(huì )秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會(huì )對國家安全造成特別嚴重損害。

第八條信息系統運營(yíng)、使用單位依據本辦法和相關(guān)技術(shù)標準對信息系統進(jìn)行保護，國家有關(guān)信息安全監管部門(mén)對其信息安全等級保護工作進(jìn)行監督管理。

第一級信息系統運營(yíng)、使用單位應當依據國家有關(guān)管理規范和技術(shù)標準進(jìn)行保護。

第二級信息系統運營(yíng)、使用單位應當依據國家有關(guān)管理規范和技術(shù)標準進(jìn)行保護。國家信息安全監管部門(mén)對該級信息系統信息安全等級保護工作進(jìn)行指導。

第三級信息系統運營(yíng)、使用單位應當依據國家有關(guān)管理規范和技術(shù)標準進(jìn)行保護。國家信息安全監管部門(mén)對該級信息系統信息安全等級保護工作進(jìn)行監督、檢查。

第四級信息系統運營(yíng)、使用單位應當依據國家有關(guān)管理規范、技術(shù)標準和業(yè)務(wù)專(zhuān)門(mén)需求進(jìn)行保護。國家信息安全監管部門(mén)對該級信息系統信息安全等級保護工作進(jìn)行強制監督、檢查。

第五級信息系統運營(yíng)、使用單位應當依據國家管理規范、技術(shù)標準和業(yè)務(wù)特殊安全需求進(jìn)行保護。國家指定專(zhuān)門(mén)部門(mén)對該級信息系統信息安全等級保護工作進(jìn)行專(zhuān)門(mén)監督、檢查。

第三章 等級保護的實(shí)施與管理

第九條信息系統運營(yíng)、使用單位應當按照《信息系統安全等級保護實(shí)施指南》具體實(shí)施等級保護工作。

第十條信息系統運營(yíng)、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門(mén)的，應當經(jīng)主管部門(mén)審核批準。

跨省或者全國統一聯(lián)網(wǎng)運行的信息系統可以由主管部門(mén)統一確定安全保護等級。

對擬確定為第四級以上信息系統的，運營(yíng)、使用單位或者主管部門(mén)應當請國家信息安全保護等級專(zhuān)家評審委員會(huì )評審。

第十一條信息系統的安全保護等級確定后，運營(yíng)、使用單位應當按照國家信息安全等級保護管理規范和技術(shù)標準，使用符合國家有關(guān)規定，滿(mǎn)足信息系統安全保護等級需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統安全建設或者改建工作。

第十二條在信息系統建設過(guò)程中，運營(yíng)、使用單位應當按照《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要求》等技術(shù)標準，參照《信息安全技術(shù) 信息系統通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù) 網(wǎng)絡(luò )基礎安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù) 操作系統安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù) 數據庫管理系統安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計算機系統安全等級技術(shù)要求》（GA/T671-2006）等技術(shù)標準同步建設符合該等級要求的信息安全設施。

第十三條運營(yíng)、使用單位應當參照《信息安全技術(shù) 信息系統安全管理要求》（GB/T20269-2006）、《信息安全技術(shù) 信息系統安全工程管理要求》（GB/T20282-2006）、《信息系統安全等級保護基本要求》等管理規范，制定并落實(shí)符合本系統安全保護等級要求的安全管理制度。

第十四條信息系統建設完成后，運營(yíng)、使用單位或者其主管部門(mén)應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術(shù)標準，定期對信息系統安全等級狀況開(kāi)展等級測評。第三級信息系統應當每年至少進(jìn)行一次等級測評，第四級信息系統應當每半年至少進(jìn)行一次等級測評，第五級信息系統應當依據特殊安全需求進(jìn)行等級測評。

信息系統運營(yíng)、使用單位及其主管部門(mén)應當定期對信息系統安全狀況、安全保護制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統應當每年至少進(jìn)行一次自查，第四級信息系統應當每半年至少進(jìn)行一次自查，第五級信息系統應當依據特殊安全需求進(jìn)行自查。

經(jīng)測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營(yíng)、使用單位應當制定方案進(jìn)行整改。

第十五條已運營(yíng)（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續。

新建第二級以上信息系統，應當在投入運行后30日內，由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續。

隸屬于中央的在京單位，其跨省或者全國統一聯(lián)網(wǎng)運行并由主管部門(mén)統一定級的信息系統，由主管部門(mén)向公安部辦理備案手續?？缡』蛘呷珖y一聯(lián)網(wǎng)運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關(guān)備案。

第十六條辦理信息系統安全保護等級備案手續時(shí)，應當填寫(xiě)《信息系統安全等級保護備案表》，第三級以上信息系統應當同時(shí)提供以下材料：

（一）系統拓撲結構及說(shuō)明；

（二）系統安全組織機構和管理制度；

（三）系統安全保護設施設計實(shí)施方案或者改建實(shí)施方案；

（四）系統使用的信息安全產(chǎn)品清單及其認證、銷(xiāo)售許可證明；

（五）測評后符合系統安全保護等級的技術(shù)檢測評估報告；

（六）信息系統安全保護等級專(zhuān)家評審意見(jiàn)；

（七）主管部門(mén)審核批準信息系統安全保護等級的意見(jiàn)。

第十七條信息系統備案后，公安機關(guān)應當對信息系統的備案情況進(jìn)行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個(gè)工作日內頒發(fā)信息系統安全等級保護備案證明；發(fā)現不符合本辦法及有關(guān)標準的，應當在收到備案材料之日起的10個(gè)工作日內通知備案單位予以糾正；發(fā)現定級不準的，應當在收到備案材料之日起的10個(gè)工作日內通知備案單位重新審核確定。

運營(yíng)、使用單位或者主管部門(mén)重新確定信息系統等級后，應當按照本辦法向公安機關(guān)重新備案。

第十八條受理備案的公安機關(guān)應當對第三級、第四級信息系統的運營(yíng)、使用單位的信息安全等級保護工作情況進(jìn)行檢查。對第三級信息系統每年至少檢查一次，對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯(lián)網(wǎng)運行的信息系統的檢查，應當會(huì )同其主管部門(mén)進(jìn)行。

對第五級信息系統，應當由國家指定的專(zhuān)門(mén)部門(mén)進(jìn)行檢查。

公安機關(guān)、國家指定的專(zhuān)門(mén)部門(mén)應當對下列事項進(jìn)行檢查：

（一） 信息系統安全需求是否發(fā)生變化，原定保護等級是否準確；

（二） 運營(yíng)、使用單位安全管理制度、措施的落實(shí)情況；

（三） 運營(yíng)、使用單位及其主管部門(mén)對信息系統安全狀況的檢查情況；

（四） 系統安全等級測評是否符合要求；

（五） 信息安全產(chǎn)品使用是否符合要求；

（六） 信息系統安全整改情況；

（七） 備案材料與運營(yíng)、使用單位、信息系統的符合情況；

（八） 其他應當進(jìn)行監督檢查的事項。

第十九條信息系統運營(yíng)、使用單位應當接受公安機關(guān)、國家指定的專(zhuān)門(mén)部門(mén)的安全監督、檢查、指導，如實(shí)向公安機關(guān)、國家指定的專(zhuān)門(mén)部門(mén)提供下列有關(guān)信息安全保護的信息資料及數據文件：

（一） 信息系統備案事項變更情況；

（二） 安全組織、人員的變動(dòng)情況；

（三） 信息安全管理制度、措施變更情況；

（四） 信息系統運行狀況記錄；

（五） 運營(yíng)、使用單位及主管部門(mén)定期對信息系統安全狀況的檢查記錄；

（六） 對信息系統開(kāi)展等級測評的技術(shù)測評報告；

（七） 信息安全產(chǎn)品使用的變更情況；

（八） 信息安全事件應急預案，信息安全事件應急處置結果報告；

（九） 信息系統安全建設、整改結果報告。

第二十條公安機關(guān)檢查發(fā)現信息系統安全保護狀況不符合信息安全等級保護有關(guān)管理規范和技術(shù)標準的，應當向運營(yíng)、使用單位發(fā)出整改通知。運營(yíng)、使用單位應當根據整改通知要求，按照管理規范和技術(shù)標準進(jìn)行整改。整改完成后，應當將整改報告向公安機關(guān)備案。必要時(shí)，公安機關(guān)可以對整改情況組織檢查。

第二十一條第三級以上信息系統應當選擇使用符合以下條件的信息安全產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；

（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄；

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒(méi)有故意留有或者設置漏洞、后門(mén)、木馬等程序和功能；

（五）對國家安全、社會(huì )秩序、公共利益不構成危害；

（六）對已列入信息安全產(chǎn)品認證目錄的，應當取得國家信息安全產(chǎn)品認證機構頒發(fā)的認證證書(shū)。

第二十二條第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進(jìn)行測評：

（一） 在中華人民共和國境內注冊成立（港澳臺地區除外）；

（二） 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區除外）；

（三） 從事相關(guān)檢測評估工作兩年以上，無(wú)違法記錄；

（四） 工作人員僅限于中國公民；

（五） 法人及主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄；

（六） 使用的技術(shù)裝備、設施應當符合本辦法對信息安全產(chǎn)品的要求；

（七） 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；

（八） 對國家安全、社會(huì )秩序、公共利益不構成威脅。

第二十三條從事信息系統安全等級測評的機構，應當履行下列義務(wù)：

（一）遵守國家有關(guān)法律法規和技術(shù)標準，提供安全、客觀(guān)、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；

（二）保守在測評活動(dòng)中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私，防范測評風(fēng)險；

（三）對測評人員進(jìn)行安全保密教育，與其簽訂安全保密責任書(shū)，規定應當履行的安全保密義務(wù)和承擔的法律責任，并負責檢查落實(shí)。

第四章 涉密信息系統的分級保護管理

第二十四條涉密信息系統應當依據國家信息安全等級保護的基本要求，按照國家保密工作部門(mén)有關(guān)涉密信息系統分級保護的管理規定和技術(shù)標準，結合系統實(shí)際情況進(jìn)行保護。

非涉密信息系統不得處理國家秘密信息。

第二十五條涉密信息系統按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個(gè)等級。

涉密信息系統建設使用單位應當在信息規范定密的基礎上，依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術(shù)要求》確定系統等級。對于包含多個(gè)安全域的涉密信息系統，各安全域可以分別確定保護等級。

保密工作部門(mén)和機構應當監督指導涉密信息系統建設使用單位準確、合理地進(jìn)行系統定級。

第二十六條涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況，及時(shí)上報業(yè)務(wù)主管部門(mén)的保密工作機構和負責系統審批的保密工作部門(mén)備案，并接受保密部門(mén)的監督、檢查、指導。

第二十七條涉密信息系統建設使用單位應當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統的設計與實(shí)施。

涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術(shù)標準，按照秘密、機密、絕密三級的不同要求，結合系統實(shí)際進(jìn)行方案設計，實(shí)施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

第二十八條涉密信息系統使用的信息安全保密產(chǎn)品原則上應當選用國產(chǎn)品，并應當通過(guò)國家保密局授權的檢測機構依據有關(guān)國家保密標準進(jìn)行的檢測，通過(guò)檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條涉密信息系統建設使用單位在系統工程實(shí)施結束后，應當向保密工作部門(mén)提出申請，由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》，對涉密信息系統進(jìn)行安全保密測評。

涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家秘密的信息系統審批管理規定》，向設區的市級以上保密工作部門(mén)申請進(jìn)行系統審批，涉密信息系統通過(guò)審批后方可投入使用。已投入使用的涉密信息系統，其建設使用單位在按照分級保護要求完成系統整改后，應當向保密工作部門(mén)備案。

第三十條涉密信息系統建設使用單位在申請系統審批或者備案時(shí)，應當提交以下材料：

（一）系統設計、實(shí)施方案及審查論證意見(jiàn)；

（二）系統承建單位資質(zhì)證明材料；

（三）系統建設和工程監理情況報告；

（四）系統安全保密檢測評估報告；

（五）系統安全保密組織機構和管理制度情況；

（六）其他有關(guān)材料。

第三十一條涉密信息系統發(fā)生涉密等級、連接范圍、環(huán)境設施、主要應用、安全保密管理責任單位變更時(shí)，其建設使用單位應當及時(shí)向負責審批的保密工作部門(mén)報告。保密工作部門(mén)應當根據實(shí)際情況，決定是否對其重新進(jìn)行測評和審批。

第三十二條涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》，加強涉密信息系統運行中的保密管理，定期進(jìn)行風(fēng)險評估，消除泄密隱患和漏洞。

第三十三條國家和地方各級保密工作部門(mén)依法對各地區、各部門(mén)涉密信息系統分級保護工作實(shí)施監督管理，并做好以下工作：

（一）指導、監督和檢查分級保護工作的開(kāi)展；

（二）指導涉密信息系統建設使用單位規范信息定密，合理確定系統保護等級；

（三）參與涉密信息系統分級保護方案論證，指導建設使用單位做好保密設施的同步規劃設計；

（四）依法對涉密信息系統集成資質(zhì)單位進(jìn)行監督管理；

（五）嚴格進(jìn)行系統測評和審批工作，監督檢查涉密信息系統建設使用單位分級保護管理制度和技術(shù)措施的落實(shí)情況；

（六）加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每?jì)赡曛辽龠M(jìn)行一次保密檢查或者系統測評，對絕密級信息系統每年至少進(jìn)行一次保密檢查或者系統測評；

（七）了解掌握各級各類(lèi)涉密信息系統的管理使用情況，及時(shí)發(fā)現和查處各種違規違法行為和泄密事件。

第五章 信息安全等級保護的密碼管理

第三十四條國家密碼管理部門(mén)對信息安全等級保護的密碼實(shí)行分類(lèi)分級管理。根據被保護對象在國家安全、社會(huì )穩定、經(jīng)濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門(mén)的性質(zhì)等，確定密碼的等級保護準則。

信息系統運營(yíng)、使用單位采用密碼進(jìn)行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規定和相關(guān)標準。

第三十五條信息系統安全等級保護中密碼的配備、使用和管理等，應當嚴格執行國家密碼管理的有關(guān)規定。

第三十六條信息系統運營(yíng)、使用單位應當充分運用密碼技術(shù)對信息系統進(jìn)行保護。采用密碼對涉及國家秘密的信息和信息系統進(jìn)行保護的，應報經(jīng)國家密碼管理局審批，密碼的設計、實(shí)施、使用、運行維護和日常管理等，應當按照國家密碼管理有關(guān)規定和相關(guān)標準執行；采用密碼對不涉及國家秘密的信息和信息系統進(jìn)行保護的，須遵守《商用密碼管理條例》和密碼分類(lèi)分級保護有關(guān)規定與相關(guān)標準，其密碼的配備使用情況應當向國家密碼管理機構備案。

第三十七條運用密碼技術(shù)對信息系統進(jìn)行系統等級保護建設和整改的，必須采用經(jīng)國家密碼管理部門(mén)批準使用或者準于銷(xiāo)售的密碼產(chǎn)品進(jìn)行安全保護，不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品；未經(jīng)批準不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。

第三十八條信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔，其他任何部門(mén)、單位和個(gè)人不得對密碼進(jìn)行評測和監控。

第三十九條各級密碼管理部門(mén)可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進(jìn)行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每?jì)赡曛辽龠M(jìn)行一次檢查和測評。在監督檢查過(guò)程中，發(fā)現存在安全隱患或者違反密碼管理相關(guān)規定或者未達到密碼相關(guān)標準要求的，應當按照國家密碼管理的相關(guān)規定進(jìn)行處置。

第六章 法律責任

第四十條第三級以上信息系統運營(yíng)、使用單位違反本辦法規定，有下列行為之一的，由公安機關(guān)、國家保密工作部門(mén)和國家密碼工作管理部門(mén)按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門(mén)通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時(shí)反饋處理結果：

（一） 未按本辦法規定備案、審批的；

（二） 未按本辦法規定落實(shí)安全管理制度、措施的；

（三） 未按本辦法規定開(kāi)展系統安全狀況檢查的；

（四） 未按本辦法規定開(kāi)展系統安全技術(shù)測評的；

（五） 接到整改通知后，拒不整改的；

（六） 未按本辦法規定選擇使用信息安全產(chǎn)品和測評機構的；

（七） 未按本辦法規定如實(shí)提供有關(guān)文件和證明材料的；

（八） 違反保密管理規定的；

（九） 違反密碼管理規定的；

（十） 違反本辦法其他規定的。

違反前款規定，造成嚴重損害的，由相關(guān)部門(mén)依照有關(guān)法律、法規予以處理。

第四十一條信息安全監管部門(mén)及其工作人員在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。

第七章 附則

第四十二條已運行信息系統的運營(yíng)、使用單位自本辦法施行之日起180日內確定信息系統的安全保護等級；新建信息系統在設計、規劃階段確定安全保護等級。

第四十三條本辦法所稱(chēng)“以上”包含本數（級）。

第四十四條本辦法自發(fā)布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時(shí)廢止。