信息安全保護

《信息安全法律法規及道德規范》

頁腳內容

7月24日，公安部網站發布四部門聯合制定的《信息安全等級保護管理辦法》，

全文如下：

第一章總則

第一條為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安

全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統

安全保護條例》等有關法律法規，制定本辦法。

第二條國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法

人和其他組織對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。

第三條公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部

門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護

工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能

部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦

事機構負責等級保護工作的部門間協調。

第四條信息系統主管部門咳嗽無痰是什么原因 應當依照本辦法及相關標準規范，督促、檢查、指導本行

業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。

第五條信息系統的運營、使用單位應當依照本辦法及其相關標準規范，履行信息安

全等級保護的義務和責任。

第二章等級劃分與保護

第六條國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保

護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破

壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等

因素確定。

《信息安全法律法規及道德規范》

頁腳內容

第七條信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但

不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，

或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家

安全造成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對

國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

第八條信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護，

國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。

第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。

第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國

家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。

第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國

家信息安全監管玉石王 部門對該級信息系統信息安全等級保護工作進行監督、檢查。

第四級信息系統運營、使用單位應當依據國家有關管理規范、技術標準和業務專門需

求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、

檢查。

第五級信息系統運營、使用單位應當依據國家管理規范、技術標準和業務特殊安全需

求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。

第三章等級保護的實施與管理

《信息安全法律法規及道德規范》

頁腳內容

第九條信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體

實施等級保護工作。

第十條信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指

南》確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準。

跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。

對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息安

全保護等級專家評審委員會評審。

第十一條信息系統的安全保護等級確定后，運營、使用單位應當按照國家信息安全

等級保護管理規范和技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求的

信息技術產品，開展信息系統安全建設或者改建工作。

第十二條在信息系統建設過程中，運營、使用單位應當按照《計算機信息系統安全

保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要

求》等技術標準，參照《信息安全技術信息系統通用安全技術要求》（GB/T202

71-2006）、《信息安全技術網絡基礎安全技術要求》（GB/T20270-

2006）、《信息安全技術操作系統安全技術要求》（GB/T20272-20

06）、《信息安全技術數據庫管理系統安全技術要求》（GB/T20273-2

006）、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全

等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信

息安全設施。

第十三條運營、使用單位應當參照《信息安全技術信息系統安全管理要求》（G

B/T20269-2006）、《信息安全技術信息系統安全工程管理要求》（G

B/T20282-2006）、《信息系統安全等級保護基本要求》等管理規范，制

定并落實符合本系統安全保護等級要求的安全管理制度。

《信息安全法律法規及道德規范》

頁腳內容

第十四條信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦

法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息

系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級

信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等

級測評。

信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度

及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統

應當每半年至少進行一次自查，第五級信息系統應當依據特殊安全需求進行自查。

經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應

當制定方案進行整改。

第十五條已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30

日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所

在地設區的市級以上公安機關辦理備案手續。

隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息

系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運

行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

第十六條辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保

護備案表》，第三級以上信息系統應當同時提供以下材料：

（一）系統拓撲結構及說明；

（二）系統安全組織機構和管理制度；

（三）系統安全保護設施設計實施方案或者改建實施方案；

（四）系統使用的信息安全產品清單及其認證、銷售許可證明；

《信息安全法律法規及道德規范》

頁腳內容

（五）測評后符合系統安全保護等級的技術檢測評估報告；

（六）信息系統安全保護等級專家評審意見；

（七）主管部門審核批準信息系統安全保護等級的意見。

第十七條信息系統備案后，公安機關應當對信息系統的備案情況進行審核，對符合

等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保

護備案證明；發現不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作

日內通知備案單位予以糾正；發現定級不準的，應當在收到備案材料之日起的10個工作

日內通知備案單位重新審鳩摩羅什簡介 核確定。

運營、使用單位或者主管部門重新確定信息系統等級后，應當按照本辦法向公安機關

重新備案。

第十八條受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的

信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次，對第四級信息

系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查，應當會同其主

管部門進行。

對第五級信息系統，應當由國家指定的專門部門進行檢查。

公安機關、國家指定的專門部門應當對下列事項進行檢查：

（一）信息系統安全需求是否發生變化，原定保護等級是否準確；

（二）運營、使用單位安全管理制度、措施的落實情況；

（三）運營、使用單位及其主管部門對信息系統安全狀況的檢查情況；

（四）系統安全等級測評是否符合要求；

（五）信息安全產品使用是否符合要求；

（六）信息系統安全整改情況；

《信息安全法律法規及道德規范》

頁腳內容

（七）備案材料與運營、使用單位、信息系統的符合情況；

（八）其他應當進行監督檢查的事項。

第十九條信息系統運營、使用單位應當接受公安機關、國家指定的專門部門的安全

監督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信

息資料及數據文件：

（一）信息系統備案事項變更情況；

（二）安全組織、人員的變動情況；

（三）信息安全管理制度、措施變更情況；

（四）信息系統運行狀況記錄；

（五）運營、使用單位及主管部門定期對信息系統安全狀況的檢查記錄；

（六）對信息系統開展等級測評的技術測評報告；

（七）信息安全產品使用的變更情況；

（八）信息安全事件應急預案，信息安全事件應急處置結果報告；

（九）信息系統安全建設、整改結果報告。

第二十條公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管

理規范和技術標準的，應當向運營、使用單位發出整改通知。運營、使用單位應當根據整改

通知要求，按照管理規范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備

案。必要時，公安機關可以對整改情況組織檢查。

第二十一條第三級以上信息系統應當選擇使用符合以下條件的信息安全產品：

（一）產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中

華人民共和國境內具有獨立的法人資格；

《信息安全法律法規及道德規范》

頁腳內容

（二）產品的核心技術、關鍵部件具有我國自主知識產權；

（三）產品研制、生產單位及其主要業務、技術人員無犯罪記錄；

（四）產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功

能；

（五）對國家安全、社會秩序、公共利益不構成危害；

（六）對已列入信息安全產品認證目錄的，應當取得國家信息安全產品認證機構頒發

的認證證書。

第二十二條第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測

評：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除

外）；

（三）從事相關檢測評估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業務、技術人員無犯罪記錄；

（六）使用的技術裝備、設施應當符合本辦法對信息安全產品的要求；

（七）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管

理制度；

（八）對國家安全、社會秩序、公共利益不構成威脅。

第二十三條從事信息系統安全等級測評的機構，應當履行下列義務：

《信息安全法律法規及道德規范》

頁腳內容

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，

保證測評的質量和效果；

（二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安

全保密義務和承擔的法律責任，并負責檢查落實。

第三章等級保護的實施與管理

第九條信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體

實施等級保護工作。

第十條信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指

南》確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準。

跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。

對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息安

全保護等級專家評審委員會評審。

第十一條信息系統的安全保護等級確定后，運營、使用單位應當按照國家信息安全

等級保護管理規范和技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求的

信息技術產品，開展信息系統安全建設或者改建工作。

第十二條在信息系統建設過程中，運營、使用單位應當按照《計算機信息系統安全

保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要

求》等技術標準，參照《信息安全技術信息系統通用安全技術要求》（GB/T202

71-2006）、《信息安全技術網絡基礎安全技術要求》（GB/T20270-

2006）、《信息安全技術操作系統安全技術要求》（GB/T20272-20

06）、《信息安全技術數據庫管理系統安全技術要求》（GB/T20273-2

006）、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全

《信息安全法律法規及道德規范》

頁腳內容

等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信

息安全設施。

第十三條運營、使用單位應當參照《信息安全技術信息系統安全管理要求》（G

B/T20269-2006）、《信息安全技術信息系統安全工程管理要求》（G

B/T20282-2006）、《信息系統安全等級保護基本要求》等管理規范，制

定并落實符合本系統安全保護等級要求的安全管理制度。

第十四條信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦

法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息

系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級

信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等

級測評。

信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度

及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統

應當每半年至少進行一次自查，第五級信息系統應當依據特殊安全需求進行自查。

經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應

當制定方案進行整改。

第十五條已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30

日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所

在地設區的市級以上公安機關辦理備案手續。

隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息

系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運

行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

《信息安全法律法規及道德規范》

頁腳內容

第十六條辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保

護備案表》，第三級以上信息系統應當同時提供以下材料：

（一）系統拓撲結構及說明；

（二）系統安全組織機構和管理制度；

（三）系統安全保護設施設計實施方案或者改建實施方案；

（四）系統使用的信息安全產品清單及其認證、銷售許可證明；

（五）測評后符合系統安全保護等級的技術檢測評估報告；

（六）信息系統安全保護等級專家評審意見；

（七）主管部門審核批準信息系統安全保護等級的意見。

第十七條信息系統備案后，公安機關應當對信息系統的備案情況進行審核，對符合

等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保

護備案證明；發現不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作

日內通知備案單位予以虞姬連招 糾正；發現定級不準的，應當在收到備案材料之日起的10個工作

日內通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統等級后，應當按照本辦法關于雁的詩句 向公安機關

重新備案。

第十八條受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的

信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次，對第四級信息

系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查，應當會同其主

管部門進行。

對第五級信息系統，應當由國家指定的專門部門進行檢查。

公安機關、國家指定的專門部門應當對下列事項進行檢查：

《信息安全法律法規及道德規范》

頁腳內容

（一）信息系統安全需求是否發生變化，原定保護等級是否準確；

（二）運營、使用單位安全管理制度、措施的落實情況；

（咖喱牛肉面 三）運營、使用單位及其主管部門對信息系統安全狀況的檢查情況；

（四）系統安全等級測評是否符合要求；

（五）信息安全產品使用是否符合要求；

（六）信息系統安全整改情況；

（七）備案材料與運營、使用單位、信息系統的符合情況；

（八）其他應當進行監督檢查的事項。

第十九條信息系統運營、使用單位應當接受公安機關、國家指定的專門部門的安全

監督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信

息資料及數據文件：

（一）信息系統備案事項變更情況；

（二）安全組織、人員的變動情況；

（三）信息安全管理制度、措施變更情況；

（四）信息系統運行狀況記錄；

（五）運營、使用單位及主管部門定期對信息系統安全狀況的檢查記錄；

（六）對信息系統開展等級測評的技術測評報告；

（七）信息安全產品使用的變更情況；

（八）信息安全事件應急預案，信息安全事件應急處置結果報告；

（九）信息系統安全建設、整改結果報告。

《信息安全法律法規及道德規范》

頁腳內容

第二十條公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管

理規范和技術標準的，應當向運營、使用單位發出整改通知。運營、使用單位應當根據整改

通知要求，按照管理規范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備

案。必要時，公英語高考作文范文 安機關可以對整改情況組織檢查。

第二十一條第三級以上信息系統應當選擇使用符合以下條件的信息安全產品：

（一）產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中

華人民共和國境內具有獨立的法人資格；

（二）產品的核心技術、關鍵部件具有我國自主知識產權；

（三）產品研制、生產單位及其主要業務、技術人員無犯罪記錄；

（四）產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功

能；

（五）對國家安全、社會秩序、公共利益不構成危害；

（六）對已列入信息安全產品認證目錄的，應當取得國家信息安全產品認證機構頒發

的認證證書。

第二十二條第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測

評：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除

外）；

（三）從事相關檢測評估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業務、技術人員無犯罪記錄；

《信息安全法律法規及道德規范》

頁腳內容

（六）使用的技術裝備、設施應當符合本辦法對信息安全產品的要求；

（七）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管

理制度；

（八）對國家安全、社會秩序、公共利益不構成威脅。

第二十三條從事信息系統安全等級測評的機構，應當履行下列義務：

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，

保證測評的質量和效果；

（二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安

全保密義務和承擔的法律責任，并負責檢查落實。

第六章法律責任

第四十條第三級以上信息系統運營、使用單位違反本辦法規定，有下列行為之一的，

由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾

期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其

他直接責任人員予以處理，并及時反饋處理結果：

（一）未按本辦法規定備案、審批的；

（二）未按本辦法規定落實安全管理制度、措施的；

（三）未按本辦法規定開展系統安全狀況檢查的；

（四）未按本辦法規定開展系統安全技術測評的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規定選擇使用信息安全產品和測評機構的；

《信息安全法律法規及道德規范》

頁腳內容

（七）未按本辦法規定如實提供有關文件和證明材料的；

（八）違反保密管理規定的；

（九）違反密碼管理規定的；

（十）違反本辦法其他規定的。

違反前款規定，造成嚴重損害的，由相關部門依照有關法律、法規予以處理。

第四十一條信息安全監管部門及其工作人員在履行監督管理職責中，玩忽職守、濫

用職權、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。

第七章附則

第四十二條已運行信息系統的運營、使用單位自本辦法施行之日起180日內確

定信息系統的安全保護等級；新建信息系統在設計、規劃階段確定安全保護等級。

第四十三條本辦法所稱“以上”包含本數（級）。

第四十四條本辦法自發布之日起施行，《信息安全等級保護管理辦法（試行）》（公

通字[2006]7號）同時廢止。

來源：公安部網站