《信息安全等級保護(hù)管理辦法》(全文).doc

7月24日，公安部網(wǎng)站發(fā)布四部門聯(lián)合制定的信息安全等級保護(hù)管理辦法，全文如下： 第一章 總則 第一條 為規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等有關(guān)法律法規(guī)，制定本辦法。 第二條 國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全保護(hù)，對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。 第三條 公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。 第四條 信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級保護(hù)工作。 第五條 信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級保護(hù)的義務(wù)和責(zé)任。 第二章 等級劃分與保護(hù) 第六條 國家信息安全等級保護(hù)堅(jiān)持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。 第七條 信息系統(tǒng)的安全保護(hù)等級分為以下五級： 第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。 第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。 第八條 信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。 第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。 第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。 第四級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。 第五級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。第三章 等級保護(hù)的實(shí)施與管理 第九條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)按照信息系統(tǒng)安全等級保護(hù)實(shí)施指南具體實(shí)施等級保護(hù)工作。 第十條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本辦法和信息系統(tǒng)安全等級保護(hù)定級指南確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。 對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會評審。 第十一條 信息系統(tǒng)的安全保護(hù)等級確定后，運(yùn)營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。 第十二條 在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999）、信息系統(tǒng)安全等級保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)，參照信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）、信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006）、信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）、信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）、信息安全技術(shù) 服務(wù)器技術(shù)要求、信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。 第十三條 運(yùn)營、使用單位應(yīng)當(dāng)參照信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269-2006）、信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系統(tǒng)安全等級保護(hù)基本要求等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。 第十四條 信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu)，依據(jù)信息系統(tǒng)安全等級保護(hù)測評要求等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。 信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。 經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。 第十五條 已運(yùn)營（運(yùn)行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。 新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。 第十六條 辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時(shí)，應(yīng)當(dāng)填寫信息系統(tǒng)安全等級保護(hù)備案表，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料： （一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明； （二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度； （三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案； （四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明； （五）測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報(bào)告； （六）信息系統(tǒng)安全保護(hù)等級專家評審意見； （七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。 第十七條 信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進(jìn)行審核，對符合等級保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。 運(yùn)營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。 第十八條 受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級保護(hù)工作情況進(jìn)行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管部門進(jìn)行。 對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。 公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項(xiàng)進(jìn)行檢查： （一） 信息系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級是否準(zhǔn)確； （二） 運(yùn)營、使用單位安全管理制度、措施的落實(shí)情況； （三） 運(yùn)營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況； （四） 系統(tǒng)安全等級測評是否符合要求； （五） 信息安全產(chǎn)品使用是否符合要求； （六） 信息系統(tǒng)安全整改情況； （七） 備案材料與運(yùn)營、使用單位、信息系統(tǒng)的符合情況； （八） 其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。 第十九條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件： （一） 信息系統(tǒng)備案事項(xiàng)變更情況； （二） 安全組織、人員的變動情況； （三） 信息安全管理制度、措施變更情況； （四） 信息系統(tǒng)運(yùn)行狀況記錄； （五） 運(yùn)營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄； （六） 對信息系統(tǒng)開展等級測評的技術(shù)測評報(bào)告； （七） 信息安全產(chǎn)品使用的變更情況； （八） 信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報(bào)告； （九） 信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。 第二十條 公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知。運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后，應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)，公安機(jī)關(guān)可以對整改情況組織檢查。 第二十一條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品： （一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨(dú)立的法人資格； （二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)； （三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄； （四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能； （五）對國家安全、社會秩序、公共利益不構(gòu)成危害； （六）對已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。 第二十二條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護(hù)測評機(jī)構(gòu)進(jìn)行測評： （一） 在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）； （二） 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）； （三） 從事相關(guān)檢測評估工作兩年以上，無違法記錄； （四） 工作人員僅限于中國公民； （五） 法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄； （六） 使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求； （七） 具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度； （八） 對國家安全、社會秩序、公共利益不構(gòu)成威脅。 第二十三條 從事信息系統(tǒng)安全等級測評的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)： （一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果； （二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私，防范測評風(fēng)險(xiǎn)； （三）對測評人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。 第三章 等級保護(hù)的實(shí)施與管理 第九條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)按照信息系統(tǒng)安全等級保護(hù)實(shí)施指南具體實(shí)施等級保護(hù)工作。 第十條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本辦法和信息系統(tǒng)安全等級保護(hù)定級指南確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。 對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會評審。 第十一條 信息系統(tǒng)的安全保護(hù)等級確定后，運(yùn)營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。 第十二條 在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999）、信息系統(tǒng)安全等級保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)，參照信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）、信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006）、信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）、信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）、信息安全技術(shù) 服務(wù)器技術(shù)要求、信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。 第十三條 運(yùn)營、使用單位應(yīng)當(dāng)參照信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269-2006）、信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系統(tǒng)安全等級保護(hù)基本要求等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。 第十四條 信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu)，依據(jù)信息系統(tǒng)安全等級保護(hù)測評要求等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。 信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。 經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。 第十五條 已運(yùn)營（運(yùn)行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。 新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。 第十六條 辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時(shí)，應(yīng)當(dāng)填寫信息系統(tǒng)安全等級保護(hù)備案表，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料： （一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明； （二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度； （三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案； （四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明； （五）測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報(bào)告； （六）信息系統(tǒng)安全保護(hù)等級專家評審意見； （七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。 第十七條 信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進(jìn)行審核，對符合等級保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。 運(yùn)營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。 第十八條 受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級保護(hù)工作情況進(jìn)行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管部門進(jìn)行。 對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。 公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項(xiàng)進(jìn)行檢查： （一） 信息系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級是否準(zhǔn)確； （二） 運(yùn)營、使用單位安全管理制度、措施的落實(shí)情況； （三） 運(yùn)營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況； （四） 系統(tǒng)安全等級測評是否符合要求； （五） 信息安全產(chǎn)品使用是否符合要求； （六） 信息系統(tǒng)安全整改情況； （七） 備案材料與運(yùn)營、使用單位、信息系統(tǒng)的符合情況； （八） 其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。 第十九條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件： （一） 信息系統(tǒng)備案事項(xiàng)變更情況； （二） 安全組織、人員的變動情況； （三） 信息安全管理制度、措施變更情況； （四） 信息系統(tǒng)運(yùn)行狀況記錄； （五） 運(yùn)營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄； （六） 對信息系統(tǒng)開展等級測評的技術(shù)測評報(bào)告； （七） 信息安全產(chǎn)品使用的變更情況； （八） 信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報(bào)告； （九） 信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。 第二十條 公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知。運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后，應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)，公安機(jī)關(guān)可以對整改情況組織檢查。 第二十一條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品： （一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨(dú)立的法人資格； （二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)； （三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄； （四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能； （五）對國家安全、社會秩序、公共利益不構(gòu)成危害； （六）對已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。 第二十二條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護(hù)測評機(jī)構(gòu)進(jìn)行測評： （一） 在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）； （二） 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）； （三） 從事相關(guān)檢測評估工作兩年以上，無違法記錄； （四） 工作人員僅限于中國公民； （五） 法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄； （六） 使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求； （七） 具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)