總則 

第 一條 爲規範信息安全等級保護管理，提高信息安全保障能(néng)力和水平，維護國家(jiā)安全、社會(huì)穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規，制定本辦法。 

第 二條 國家(jiā)通過(guò)制定統一的信息安全等級保護管理規範和技術标準，組織公民、法人和其(qí)他組織對(duì)信息系統分等級實行(háng / xíng)安全保護，對(duì)等級保護工作的實施進行(háng / xíng)監督、管理。 

第 三條 公安機關負責信息安全等級保護工作的監督、檢查、指導。國家(jiā)保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家(jiā)密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其(qí)他職能(néng)部門管轄範圍的事(shì)項，由有關職能(néng)部門依照國家(jiā)法律法規的規定進行(háng / xíng)管理。國務院信息化工作辦公室及地方信息化領導小組辦事(shì)機構負責等級保護工作的部門間協調。 

第四條 信息系統主管部門應當依照本辦法及相關标準規範，督促、檢查、指導本行(háng / xíng)業、本部門或者本地區信息系統運營、使用(yòng)單位的信息安全等級保護工作。 

第五條 信息系統的運營、使用(yòng)單位應當依照本辦法及其(qí)相關标準規範，履行(háng / xíng)信息安全等級保護的義務和責任。 

第二章 等級劃分與保護 

第六條 國家(jiā)信息安全等級保護堅持自(zì)主定級、自(zì)主保護的原則。信息系統的安全保護等級應當根據信息系統在國家(jiā)安全、經濟建設、社會(huì)生(shēng)活中的重要(yào / yāo)程度，信息系統遭到破壞後(hòu)對(duì)國家(jiā)安全、社會(huì)秩序、公共利益以及公民、法人和其(qí)他組織的合法權益的危害程度等因素确定。 

第七條 信息系統的安全保護等級分爲以下(xià)五級： 

信息系統受到破壞後(hòu)，會(huì)對(duì)公民、法人和其(qí)他組織的合法權益造成損害，但不損害國家(jiā)安全、社會(huì)秩序和公共利益。 

第二級，信息系統受到破壞後(hòu)，會(huì)對(duì)公民、法人和其(qí)他組織的合法權益産生(shēng)嚴重損害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家(jiā)安全。 

第三級，信息系統受到破壞後(hòu)，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴重損害，或者對(duì)國家(jiā)安全造成損害。 

第四級，信息系統受到破壞後(hòu)，會(huì)對(duì)社會(huì)秩序和公共利益造成特别嚴重損害，或者對(duì)國家(jiā)安全造成嚴重損害。 

第五級，信息系統受到破壞後(hòu)，會(huì)對(duì)國家(jiā)安全造成特别嚴重損害。 

第八條 信息系統運營、使用(yòng)單位依據本辦法和相關技術标準對(duì)信息系統進行(háng / xíng)保護，國家(jiā)有關信息安全監管部門對(duì)其(qí)信息安全等級保護工作進行(háng / xíng)監督管理。 

信息系統運營、使用(yòng)單位應當依據國家(jiā)有關管理規範和技術标準進行(háng / xíng)保護。 

第二級信息系統運營、使用(yòng)單位應當依據國家(jiā)有關管理規範和技術标準進行(háng / xíng)保護。國家(jiā)信息安全監管部門對(duì)該級信息系統信息安全等級保護工作進行(háng / xíng)指導。 

第三級信息系統運營、使用(yòng)單位應當依據國家(jiā)有關管理規範和技術标準進行(háng / xíng)保護。國家(jiā)信息安全監管部門對(duì)該級信息系統信息安全等級保護工作進行(háng / xíng)監督、檢查。 

第四級信息系統運營、使用(yòng)單位應當依據國家(jiā)有關管理規範、技術标準和業務專門需求進行(háng / xíng)保護。國家(jiā)信息安全監管部門對(duì)該級信息系統信息安全等級保護工作進行(háng / xíng)強制監督、檢查。 

第五級信息系統運營、使用(yòng)單位應當依據國家(jiā)管理規範、技術标準和業務特殊安全需求進行(háng / xíng)保護。國家(jiā)指定專門部門對(duì)該級信息系統信息安全等級保護工作進行(háng / xíng)專門監督、檢查。

第三章 等級保護的實施與管理 

第九條 信息系統運營、使用(yòng)單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。 

第十(shí)條 信息系統運營、使用(yòng)單位應當依據本辦法和《信息系統安全等級保護定級指南》确定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準。 

跨省或者全國統一聯網運行(háng / xíng)的信息系統可(kě)以由主管部門統一确定安全保護等級。 

對(duì)拟确定爲第四級以上信息系統的，運營、使用(yòng)單位或者主管部門應當請國家(jiā)信息安全保護等級專家(jiā)評審委員會(huì)評審。 

第十(shí)一條 信息系統的安全保護等級确定後(hòu)，運營、使用(yòng)單位應當按照國家(jiā)信息安全等級保護管理規範和技術标準，使用(yòng)符合國家(jiā)有關規定，滿足信息系統安全保護等級需求的信息技術産品，開展信息系統安全建設或者改建工作。 

第十(shí)二條 在信息系統建設過(guò)程中，運營、使用(yòng)單位應當按照《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要(yào / yāo)求》等技術标準，參照《信息安全技術 信息系統通用(yòng)安全技術要(yào / yāo)求》（GB/T20271-2006）、《信息安全技術 網絡基礎安全技術要(yào / yāo)求》（GB/T20270-2006）、《信息安全技術 操作系統安全技術要(yào / yāo)求》（GB/T20272-2006）、《信息安全技術 數據庫管理系統安全技術要(yào / yāo)求》（GB/T20273-2006）、《信息安全技術 服務器技術要(yào / yāo)求》、《信息安全技術 終端計算機系統安全等級技術要(yào / yāo)求》（GA/T671-2006）等技術标準同步建設符合該等級要(yào / yāo)求的信息安全設施。 

第十(shí)三條 運營、使用(yòng)單位應當參照《信息安全技術 信息系統安全管理要(yào / yāo)求》（GB/T20269-2006）、《信息安全技術 信息系統安全工程管理要(yào / yāo)求》（GB/T20282-2006）、《信息系統安全等級保護基本要(yào / yāo)求》等管理規範，制定并落實符合本系統安全保護等級要(yào / yāo)求的安全管理制度。 

第十(shí)四條 信息系統建設完成後(hòu)，運營、使用(yòng)單位或者其(qí)主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要(yào / yāo)求》等技術标準，定期對(duì)信息系統安全等級狀況開展等級測評。第三級信息系統應當每年(nián)至少進行(háng / xíng)一次等級測評，第四級信息系統應當每半年(nián)至少進行(háng / xíng)一次等級測評，第五級信息系統應當依據特殊安全需求進行(háng / xíng)等級測評。 

信息系統運營、使用(yòng)單位及其(qí)主管部門應當定期對(duì)信息系統安全狀況、安全保護制度及措施的落實情況進行(háng / xíng)自(zì)查。第三級信息系統應當每年(nián)至少進行(háng / xíng)一次自(zì)查，第四級信息系統應當每半年(nián)至少進行(háng / xíng)一次自(zì)查，第五級信息系統應當依據特殊安全需求進行(háng / xíng)自(zì)查。 

經測評或者自(zì)查，信息系統安全狀況未達到安全保護等級要(yào / yāo)求的，運營、使用(yòng)單位應當制定方案進行(háng / xíng)整改。 

第十(shí)五條 已運營（運行(háng / xíng)）的第二級以上信息系統，應當在安全保護等級确定後(hòu)30日内，由其(qí)運營、使用(yòng)單位到所(suǒ)在地設區的市級以上公安機關辦理備案手續。 

新建第二級以上信息系統，應當在投入運行(háng / xíng)後(hòu)30日内，由其(qí)運營、使用(yòng)單位到所(suǒ)在地設區的市級以上公安機關辦理備案手續。 

隸屬于(yú)中央的在京單位，其(qí)跨省或者全國統一聯網運行(háng / xíng)并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行(háng / xíng)的信息系統在各地運行(háng / xíng)、應用(yòng)的分支系統，應當向當地設區的市級以上公安機關備案。 

第十(shí)六條 辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，第三級以上信息系統應當同時提供以下(xià)材料： 

（一）系統拓撲結構及說明； 

（二）系統安全組織機構和管理制度； 

（三）系統安全保護設施設計實施方案或者改建實施方案； 

（四）系統使用(yòng)的信息安全産品清單及其(qí)認證、銷售許可(kě)證明； 

（五）測評後(hòu)符合系統安全保護等級的技術檢測評估報告； 

（六）信息系統安全保護等級專家(jiā)評審意見； 

（七）主管部門審核批準信息系統安全保護等級的意見。 

第十(shí)七條 信息系統備案後(hòu)，公安機關應當對(duì)信息系統的備案情況進行(háng / xíng)審核，對(duì)符合等級保護要(yào / yāo)求的，應當在收到備案材料之日起的10個工作日内頒發(fā／fà)信息系統安全等級保護備案證明；發(fā／fà)現不符合本辦法及有關标準的，應當在收到備案材料之日起的10個工作日内通知備案單位予以糾正；發(fā／fà)現定級不準的，應當在收到備案材料之日起的10個工作日内通知備案單位重新審核确定。 

運營、使用(yòng)單位或者主管部門重新确定信息系統等級後(hòu)，應當按照本辦法向公安機關重新備案。      

第十(shí)八條 受理備案的公安機關應當對(duì)第三級、第四級信息系統的運營、使用(yòng)單位的信息安全等級保護工作情況進行(háng / xíng)檢查。對(duì)第三級信息系統每年(nián)至少檢查一次，對(duì)第四級信息系統每半年(nián)至少檢查一次。對(duì)跨省或者全國統一聯網運行(háng / xíng)的信息系統的檢查，應當會(huì)同其(qí)主管部門進行(háng / xíng)。 

對(duì)第五級信息系統，應當由國家(jiā)指定的專門部門進行(háng / xíng)檢查。 

公安機關、國家(jiā)指定的專門部門應當對(duì)下(xià)列事(shì)項進行(háng / xíng)檢查： 

（一） 信息系統安全需求是否發(fā／fà)生(shēng)變化，原定保護等級是否準确； 

（二） 運營、使用(yòng)單位安全管理制度、措施的落實情況； 

（三） 運營、使用(yòng)單位及其(qí)主管部門對(duì)信息系統安全狀況的檢查情況； 

（四） 系統安全等級測評是否符合要(yào / yāo)求； 

（五） 信息安全産品使用(yòng)是否符合要(yào / yāo)求； 

（六） 信息系統安全整改情況； 

（七） 備案材料與運營、使用(yòng)單位、信息系統的符合情況； 

（八） 其(qí)他應當進行(háng / xíng)監督檢查的事(shì)項。 

第十(shí)九條 信息系統運營、使用(yòng)單位應當接受公安機關、國家(jiā)指定的專門部門的安全監督、檢查、指導，如(rú)實向公安機關、國家(jiā)指定的專門部門提供下(xià)列有關信息安全保護的信息資料及數據文件： 

（一） 信息系統備案事(shì)項變更情況； 

（二） 安全組織、人員的變動情況； 

（三） 信息安全管理制度、措施變更情況； 

（四） 信息系統運行(háng / xíng)狀況記錄； 

（五） 運營、使用(yòng)單位及主管部門定期對(duì)信息系統安全狀況的檢查記錄； 

（六） 對(duì)信息系統開展等級測評的技術測評報告； 

（七） 信息安全産品使用(yòng)的變更情況； 

（八） 信息安全事(shì)件應急預案，信息安全事(shì)件應急處置結果報告； 

（九） 信息系統安全建設、整改結果報告。 

第二十(shí)條 公安機關檢查發(fā／fà)現信息系統安全保護狀況不符合信息安全等級保護有關管理規範和技術标準的，應當向運營、使用(yòng)單位發(fā／fà)出整改通知。運營、使用(yòng)單位應當根據整改通知要(yào / yāo)求，按照管理規範和技術标準進行(háng / xíng)整改。整改完成後(hòu)，應當将整改報告向公安機關備案。必要(yào / yāo)時，公安機關可(kě)以對(duì)整改情況組織檢查。 

第二十(shí)一條 第三級以上信息系統應當選擇使用(yòng)符合以下(xià)條件的信息安全産品： 

（一）産品研制、生(shēng)産單位是由中國公民、法人投資或者國家(jiā)投資或者控股的，在中華人民共和國境内具有獨立的法人資格； 

（二）産品的核心技術、關鍵部件具有我國自(zì)主知識産權； 

（三）産品研制、生(shēng)産單位及其(qí)主要(yào / yāo)業務、技術人員無犯罪記錄； 

（四）産品研制、生(shēng)産單位聲明沒有故意留有或者設置漏洞、後(hòu)門、木馬等程序和功能(néng)； 

（五）對(duì)國家(jiā)安全、社會(huì)秩序、公共利益不構成危害； 

（六）對(duì)已列入信息安全産品認證目錄的，應當取得(dé / de / děi)國家(jiā)信息安全産品認證機構頒發(fā／fà)的認證證書。 

第二十(shí)二條 第三級以上信息系統應當選擇符合下(xià)列條件的等級保護測評機構進行(háng / xíng)測評： 

（一） 在中華人民共和國境内注冊成立（港澳台地區除外）； 

（二） 由中國公民投資、中國法人投資或者國家(jiā)投資的企事(shì)業單位（港澳台地區除外）； 

（三） 從事(shì)相關檢測評估工作兩年(nián)以上，無違法記錄； 

（四） 工作人員僅限于(yú)中國公民； 

（五） 法人及主要(yào / yāo)業務、技術人員無犯罪記錄； 

（六） 使用(yòng)的技術裝備、設施應當符合本辦法對(duì)信息安全産品的要(yào / yāo)求； 

（七） 具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度； 

（八） 對(duì)國家(jiā)安全、社會(huì)秩序、公共利益不構成威脅。 

第二十(shí)三條 從事(shì)信息系統安全等級測評的機構，應當履行(háng / xíng)下(xià)列義務： 

（一）遵守國家(jiā)有關法律法規和技術标準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果； 

（二）保守在測評活動中知悉的國家(jiā)秘密、商業秘密和個人隐私，防範測評風險； 

（三）對(duì)測評人員進行(háng / xíng)安全保密教育，與其(qí)簽訂安全保密責任書，規定應當履行(háng / xíng)的安全保密義務和承擔的法律責任，并負責檢查落實。

第四章 涉及國家(jiā)秘密信息系統的分級保護管理 

第二十(shí)四條 涉密信息系統應當依據國家(jiā)信息安全等級保護的基本要(yào / yāo)求，按照國家(jiā)保密工作部門有關涉密信息系統分級保護的管理規定和技術标準，結合系統實際情況進行(háng / xíng)保護。 

非涉密信息系統不得(dé / de / děi)處理國家(jiā)秘密信息。 

第二十(shí)五條 涉密信息系統按照所(suǒ)處理信息的**密級，由低到高分爲秘密、機密、絕密三個等級。 

涉密信息系統建設使用(yòng)單位應當在信息規範定密的基礎上，依據涉密信息系統分級保護管理辦法和國家(jiā)保密标準BMB17-2006《涉及國家(jiā)秘密的計算機信息系統分級保護技術要(yào / yāo)求》确定系統等級。對(duì)于(yú)包含多個安全域的涉密信息系統，各安全域可(kě)以分别确定保護等級。 

保密工作部門和機構應當監督指導涉密信息系統建設使用(yòng)單位準确、合理地進行(háng / xíng)系統定級。 

第二十(shí)六條 涉密信息系統建設使用(yòng)單位應當将涉密信息系統定級和建設使用(yòng)情況，及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案，并接受保密部門的監督、檢查、指導。 

第二十(shí)七條 涉密信息系統建設使用(yòng)單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。 

涉密信息系統建設使用(yòng)單位應當依據涉密信息系統分級保護管理規範和技術标準，按照秘密、機密、絕密三級的不同要(yào / yāo)求，結合系統實際進行(háng / xíng)方案設計，實施分級保護，其(qí)保護水平總體上不低于(yú)國家(jiā)信息安全等級保護第三級、第四級、第五級的水平。 

第二十(shí)八條 涉密信息系統使用(yòng)的信息安全保密産品原則上應當選用(yòng)國産品，并應當通過(guò)國家(jiā)保密局授權的檢測機構依據有關國家(jiā)保密标準進行(háng / xíng)的檢測，通過(guò)檢測的産品由國家(jiā)保密局審核發(fā／fà)布目錄。 

第二十(shí)九條 涉密信息系統建設使用(yòng)單位在系統工程實施結束後(hòu)，應當向保密工作部門提出申請，由國家(jiā)保密局授權的系統測評機構依據國家(jiā)保密标準BMB22-2007《涉及國家(jiā)秘密的計算機信息系統分級保護測評指南》，對(duì)涉密信息系統進行(háng / xíng)安全保密測評。 

涉密信息系統建設使用(yòng)單位在系統投入使用(yòng)前，應當按照《涉及國家(jiā)秘密的信息系統審批管理規定》，向設區的市級以上保密工作部門申請進行(háng / xíng)系統審批，涉密信息系統通過(guò)審批後(hòu)方可(kě)投入使用(yòng)。已投入使用(yòng)的涉密信息系統，其(qí)建設使用(yòng)單位在按照分級保護要(yào / yāo)求完成系統整改後(hòu)，應當向保密工作部門備案。 

第三十(shí)條 涉密信息系統建設使用(yòng)單位在申請系統審批或者備案時，應當提交以下(xià)材料： 

（一）系統設計、實施方案及審查論證意見； 

（二）系統承建單位資質證明材料； 

（三）系統建設和工程監理情況報告； 

（四）系統安全保密檢測評估報告； 

（五）系統安全保密組織機構和管理制度情況； 

（六）其(qí)他有關材料。 

第三十(shí)一條 涉密信息系統發(fā／fà)生(shēng)涉密等級、連接範圍、環境設施、主要(yào / yāo)應用(yòng)、安全保密管理責任單位變更時，其(qí)建設使用(yòng)單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況，決定是否對(duì)其(qí)重新進行(háng / xíng)測評和審批。 

第三十(shí)二條 涉密信息系統建設使用(yòng)單位應當依據國家(jiā)保密标準BMB20-2007《涉及國家(jiā)秘密的信息系統分級保護管理規範》，加強涉密信息系統運行(háng / xíng)中的保密管理，定期進行(háng / xíng)風險評估，消除洩密隐患和漏洞。 

第三十(shí)三條 國家(jiā)和地方各級保密工作部門依法對(duì)各地區、各部門涉密信息系統分級保護工作實施監督管理，并做好以下(xià)工作： 

（一）指導、監督和檢查分級保護工作的開展； 

（二）指導涉密信息系統建設使用(yòng)單位規範信息定密，合理确定系統保護等級； 

（三）參與涉密信息系統分級保護方案論證，指導建設使用(yòng)單位做好保密設施的同步規劃設計； 

（四）依法對(duì)涉密信息系統集成資質單位進行(háng / xíng)監督管理； 

（五）嚴格進行(háng / xíng)系統測評和審批工作，監督檢查涉密信息系統建設使用(yòng)單位分級保護管理制度和技術措施的落實情況； 

（六）加強涉密信息系統運行(háng / xíng)中的保密監督檢查。對(duì)秘密級、機密級信息系統每兩年(nián)至少進行(háng / xíng)一次保密檢查或者系統測評，對(duì)絕密級信息系統每年(nián)至少進行(háng / xíng)一次保密檢查或者系統測評； 

（七）了解掌握各級各類涉密信息系統的管理使用(yòng)情況，及時發(fā／fà)現和查處各種違規違法行(háng / xíng)爲和洩密事(shì)件。

 第五章 信息安全等級保護的密碼管理 

第三十(shí)四條 國家(jiā)密碼管理部門對(duì)信息安全等級保護的密碼實行(háng / xíng)分類分級管理。根據被保護對(duì)象在國家(jiā)安全、社會(huì)穩定、經濟建設中的作用(yòng)和重要(yào / yāo)程度，被保護對(duì)象的安全防護要(yào / yāo)求和涉密程度，被保護對(duì)象被破壞後(hòu)的危害程度以及密碼使用(yòng)部門的性質等，确定密碼的等級保護準則。 

信息系統運營、使用(yòng)單位采用(yòng)密碼進行(háng / xíng)等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用(yòng)密碼技術要(yào / yāo)求》等密碼管理規定和相關标準。 

第三十(shí)五條 信息系統安全等級保護中密碼的配備、使用(yòng)和管理等，應當嚴格執行(háng / xíng)國家(jiā)密碼管理的有關規定。 

第三十(shí)六條 信息系統運營、使用(yòng)單位應當充分運用(yòng)密碼技術對(duì)信息系統進行(háng / xíng)保護。采用(yòng)密碼對(duì)涉及國家(jiā)秘密的信息和信息系統進行(háng / xíng)保護的，應報經國家(jiā)密碼管理局審批，密碼的設計、實施、使用(yòng)、運行(háng / xíng)維護和日常管理等，應當按照國家(jiā)密碼管理有關規定和相關标準執行(háng / xíng)；采用(yòng)密碼對(duì)不涉及國家(jiā)秘密的信息和信息系統進行(háng / xíng)保護的，須遵守《商用(yòng)密碼管理條例》和密碼分類分級保護有關規定與相關标準，其(qí)密碼的配備使用(yòng)情況應當向國家(jiā)密碼管理機構備案。 

第三十(shí)七條 運用(yòng)密碼技術對(duì)信息系統進行(háng / xíng)系統等級保護建設和整改的，必須采用(yòng)經國家(jiā)密碼管理部門批準使用(yòng)或者準于(yú)銷售的密碼産品進行(háng / xíng)安全保護，不得(dé / de / děi)采用(yòng)國外引進或者擅自(zì)研制的密碼産品；未經批準不得(dé / de / děi)采用(yòng)含有加密功能(néng)的進口信息技術産品。 

第三十(shí)八條 信息系統中的密碼及密碼設備的測評工作由國家(jiā)密碼管理局認可(kě)的測評機構承擔，其(qí)他任何部門、單位和個人不得(dé / de / děi)對(duì)密碼進行(háng / xíng)評測和監控。 

第三十(shí)九條 各級密碼管理部門可(kě)以定期或者不定期對(duì)信息系統等級保護工作中密碼配備、使用(yòng)和管理的情況進行(háng / xíng)檢查和測評，對(duì)重要(yào / yāo)涉密信息系統的密碼配備、使用(yòng)和管理情況每兩年(nián)至少進行(háng / xíng)一次檢查和測評。在監督檢查過(guò)程中，發(fā／fà)現存在安全隐患或者違反密碼管理相關規定或者未達到密碼相關标準要(yào / yāo)求的，應當按照國家(jiā)密碼管理的相關規定進行(háng / xíng)處置。 

第六章 法律責任 

第四十(shí)條 第三級以上信息系統運營、使用(yòng)單位違反本辦法規定，有下(xià)列行(háng / xíng)爲之一的，由公安機關、國家(jiā)保密工作部門和國家(jiā)密碼工作管理部門按照職責分工責令其(qí)限期改正；逾期不改正的，給予警告，并向其(qí)上級主管部門通報情況，建議對(duì)其(qí)直接負責的主管人員和其(qí)他直接責任人員予以處理，并及時反饋處理結果： 

（一） 未按本辦法規定備案、審批的； 

（二） 未按本辦法規定落實安全管理制度、措施的； 

（三） 未按本辦法規定開展系統安全狀況檢查的； 

（四） 未按本辦法規定開展系統安全技術測評的； 

（五） 接到整改通知後(hòu)，拒不整改的； 

（六） 未按本辦法規定選擇使用(yòng)信息安全産品和測評機構的； 

（七） 未按本辦法規定如(rú)實提供有關文件和證明材料的； 

（八） 違反保密管理規定的； 

（九） 違反密碼管理規定的； 

（十(shí)） 違反本辦法其(qí)他規定的。 

違反前款規定，造成嚴重損害的，由相關部門依照有關法律、法規予以處理。 

第四十(shí)一條 信息安全監管部門及其(qí)工作人員在履行(háng / xíng)監督管理職責中，玩忽職守、濫用(yòng)職權、徇私舞弊的，依法給予行(háng / xíng)政處分；構成犯罪的，依法追究刑事(shì)責任。 

第七章 附則 

第四十(shí)二條 已運行(háng / xíng)信息系統的運營、使用(yòng)單位自(zì)本辦法施行(háng / xíng)之日起180日内确定信息系統的安全保護等級；新建信息系統在設計、規劃階段确定安全保護等級。 

第四十(shí)三條 本辦法所(suǒ)稱“以上”包含本數（級）。

第四十(shí)四條 本辦法自(zì)發(fā／fà)布之日起施行(háng / xíng)，《信息安全等級保護管理辦法（試行(háng / xíng)）》（公通字[2006]7号）同時廢止。