（三） 信息安全管理制度、措施變更情況；
（四） 信息系統運行狀況記錄；
（五） 運營、使用單位及主管部門定期對信息系統安全狀況的檢查記錄；
（六） 對信息系統開展等級測評的技術測評報告；
（七） 信息安全產品使用的變更情況；
（八） 信息安全事件應急預案，信息安全事件應急處置結果報告；
（九） 信息系統安全建設、整改結果報告。
第二十條
公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管理規范和技術標準的，應當向運營、使用單位發出整改通知。運營、使用單位應當根據整改通知要求，按照管理規范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備案。必要時，公安機關可以對整改情況組織檢查。
第二十一條
第三級以上信息系統應當選擇使用符合以下條件的信息安全產品：
（一）產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；
（二）產品的核心技術、關鍵部件具有我國自主知識產權；
（三）產品研制、生產單位及其主要業務、技術人員無犯罪記錄；
（四）產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；
（五）對國家安全、社會秩序、公共利益不構成危害；
（六）對已列入信息安全產品認證目錄的，應當取得國家信息安全產品認證機構頒發的認證證書。
第二十二條
第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測評：
（一） 在中華人民共和國境內注冊成立（港澳臺地區除外）；
（二） 由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；
（三） 從事相關檢測評估工作兩年以上，無違法記錄；
（四） 工作人員僅限于中國公民；
（五） 法人及主要業務、技術人員無犯罪記錄；
（六） 使用的技術裝備、設施應當符合本辦法對信息安全產品的要求；
（七） 具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；
（八） 對國家安全、社會秩序、公共利益不構成威脅。
第二十三條
從事信息系統安全等級測評的機構，應當履行下列義務：
（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；
（二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；
（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。
第四章 涉密信息系統的分級保護管理
第二十四條
涉密信息系統應當依據國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準，結合系統實際情況進行保護。
非涉密信息系統不得處理國家秘密信息。
第二十五條
涉密信息系統按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。
涉密信息系統建設使用單位應當在信息規范定密的基礎上，依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定系統等級。對于包含多個安全域的涉密信息系統，各安全域可以分別確定保護等級。
保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。
第二十六條
涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況，及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案，并接受保密部門的監督、檢查、指導。
第二十七條
涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。
涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。
第二十八條
涉密信息系統使用的信息安全保密產品原則上應當選用國產品，并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測，通過檢測的產品由國家保密局審核發布目錄。
第二十九條
涉密信息系統建設使用單位在系統工程實施結束后，應當向保密工作部門提出申請，由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》，對涉密信息系統進行安全保密測評。
涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家秘密的信息系統審批管理規定》，向設區的市級以上保密工作部門申請進行系統審批，涉密信息系統通過審批后方可投入使用。已投入使用的涉密信息系統，其建設使用單位在按照分級保護要求完成系統整改后，應當向保密工作部門備案。
第三十條
涉密信息系統建設使用單位在申請系統審批或者備案時，應當提交以下材料：
（一）系統設計、實施方案及審查論證意見；
（二）系統承建單位資質證明材料；
（三）系統建設和工程監理情況報告；
（四）系統安全保密檢測評估報告；
（五）系統安全保密組織機構和管理制度情況；
（六）其他有關材料。
第三十一條
涉密信息系統發生涉密等級、連接范圍、環境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況，決定是否對其重新進行測評和審批。
第三十二條
涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》，加強涉密信息系統運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。
第三十三條
國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理，并做好以下工作：
（一）指導、監督和檢查分級保護工作的開展；
（二）指導涉密信息系統建設使用單位規范信息定密，合理確定系統保護等級；
（三）參與涉密信息系統分級保護方案論證，指導建設使用單位做好保密設施的同步規劃設計；
（四）依法對涉密信息系統集成資質單位進行監督管理；
（五）嚴格進行系統測評和審批工作，監督檢查涉密信息系統建設使用單位分級保護管理制度和技術措施的落實情況；
（六）加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評，對絕密級信息系統每年至少進行一次保密檢查或者系統測評；
（七）了解掌握各級各類涉密信息系統的管理使用情況，及時發現和查處各種違規違法行為和泄密事件。
第五章 信息安全等級保護的密碼管理
第三十四條
國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質等，確定密碼的等級保護準則。
信息系統運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。
第三十五條
信息系統安全等級保護中密碼的配備、使用和管理等，應當嚴格執行國家密碼管理的有關規定。
第三十六條
信息系統運營、使用單位應當充分運用密碼技術對信息系統進行保護。采用密碼對涉及國家秘密的信息和信息系統進行保護的，應報經國家密碼管理局審批，密碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規定和相關標準執行；采用密碼對不涉及國家秘密的信息和信息系統進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準，其密碼的配備使用情況應當向國家密碼管理機構備案。
第三十七條
運用密碼技術對信息系統進行系統等級保護建設和整改的，必須采用經國家密碼管理部門批準使用或者準于銷售的密碼產品進行安全保護，不得采用國外引進或者擅自研制的密碼產品；未經批準不得采用含有加密功能的進口信息技術產品。
第三十八條
信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔，其他任何部門、單位和個人不得對密碼進行評測和監控。
第三十九條
各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中，發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規定進行處置。
第六章 法律責任
第四十條
第三級以上信息系統運營、使用單位違反本辦法規定，有下列行為之一的，由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結果：
（一） 未按本辦法規定備案、審批的；
（二） 未按本辦法規定落實安全管理制度、措施的；
（三） 未按本辦法規定開展系統安全狀況檢查的；
（四） 未按本辦法規定開展系統安全技術測評的；
（五） 接到整改通知后，拒不整改的；
（六） 未按本辦法規定選擇使用信息安全產品和測評機構的；
（七） 未按本辦法規定如實提供有關文件和證明材料的；
（八） 違反保密管理規定的；
（九） 違反密碼管理規定的；
（十） 違反本辦法其他規定的。
違反前款規定，造成嚴重損害的，由相關部門依照有關法律、法規予以處理。
第四十一條
信息安全監管部門及其工作人員在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。
第七章 附則
第四十二條
已運行信息系統的運營、使用單位自本辦法施行之日起180日內確定信息系統的安全保護等級；新建信息系統在設計、規劃階段確定安全保護等級。
第四十三條
本辦法所稱“以上”包含本數（級）。
第四十四條
本辦法自發布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時廢止。
?