《信息安全等級保護管理辦法》

1、信息安全等級保護管理辦法第一章總則第一條為規(guī)范信息安全等級愛護治理，提高信息安全保證能力和水平，愛護國家安全、 社會穩(wěn)固和公共利益，保證和促進信息化建設(shè)，依照中華人民共和國運算機信息系統(tǒng)安全 愛護條例等有關(guān)法律法規(guī)，制定本方法。第二條國家通過制定統(tǒng)一的信息安全等級愛護治理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人 和其他組織對信息系統(tǒng)分等級實行安全愛護，對等級愛護工作的實施進行監(jiān)督、治理。第三條公安機關(guān)負(fù)責(zé)信息安全等級愛護工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門 負(fù)責(zé)等級愛護工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼治理部門負(fù)責(zé)等級愛護工 作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范疇的

2、事項，由有關(guān)職能部 門依照國家法律法規(guī)的規(guī)定進行治理。國務(wù)院信息化工作辦公室及地點信息化領(lǐng)導(dǎo)小組辦事 機構(gòu)負(fù)責(zé)等級愛護工作的部門間和諧。第四條信息系統(tǒng)主管部門應(yīng)當(dāng)依照本方法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、 本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級愛護工作。第五條信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)依照本方法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全 等級愛護的義務(wù)和責(zé)任。第二章等級劃分與愛護第六條國家信息安全等級愛護堅持自主定級、自主愛護的原則。信息系統(tǒng)的安全愛護 等級應(yīng)當(dāng)依照信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞 后對國家安全、社會秩序、公共利益以及公民、法人和

3、其他組織的合法權(quán)益的危害程度等因 素確定。第七條信息系統(tǒng)的安全愛護等級分為以下五級:第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但 不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)峻損害, 或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)峻損害，或者對國家 安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成專門嚴(yán)峻損害，或者對 國家安全造成嚴(yán)峻損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成專門嚴(yán)峻損害。第八條信息系統(tǒng)運營、使用單位

4、依據(jù)本方法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進行愛護，國 家有關(guān)信息安全監(jiān)管部門對其信息安全等級愛護工作進行監(jiān)督治理。第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)治理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行愛護。第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)治理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行愛護。國 家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級愛護工作進行指導(dǎo)。第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)治理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行愛護。國 家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級愛護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)治理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需 求進行愛護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級愛護

5、工作進行強制監(jiān)督、 檢查。第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家治理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門安全需求進行愛護。國家指定專門部門對該級信息系統(tǒng)信息安全等級愛護工作進行專門監(jiān)督、檢查。 第三章等級愛護的實施與治理第九條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照信息系統(tǒng)安全等級愛護實施指南具體實 施等級愛護工作。第十條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本方法和信息系統(tǒng)安全等級愛護定級指南 確定信息系統(tǒng)的安全愛護等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)能夠由主管部門統(tǒng)一確定安全愛護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安 全愛護等級專家評

6、審委員會評審。第十一條信息系統(tǒng)的安全愛護等級確定后，運營、使用單位應(yīng)當(dāng)按照國家信息安全等 級愛護治理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全愛護等級需求的信 息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當(dāng)按照運算機信息系統(tǒng)安全愛 護等級劃分準(zhǔn)則(GB17859-1999).信息系統(tǒng)安全等級愛護差不多要求等技術(shù)標(biāo)準(zhǔn)， 參照信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006),信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270-2006).信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求 (GB/T20272-2006).信息安全技

7、術(shù) 數(shù)據(jù)庫治理系統(tǒng)安全技術(shù)要求(GB/T20273-2006) > 信息安全技術(shù)服務(wù)器技術(shù)要求、信息安全技術(shù)終端運算機系統(tǒng)安全等級技術(shù)要求 (GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。第十三條運營、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全治理要求(GB/T2 0269-2006),信息安全技術(shù)信息系統(tǒng)安全工程治理要求(GB/T20282-2006).信息系統(tǒng)安全等級愛護差不多要求等治理規(guī)范，制定并落實符合本系統(tǒng)安全愛護等級要求的安 全治理制度。第十四條信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本方法 規(guī)定條件的測評機構(gòu)，依據(jù)信息系統(tǒng)安全等

8、級愛護測評要求等技術(shù)標(biāo)準(zhǔn)，定期對信息系 統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，第四級信 息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)專門安全需求進行等級 測評。信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全愛護制度 及措施的落實情形進行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次自查，第四級信息系統(tǒng) 應(yīng)當(dāng)每半年至少進行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)專門安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全愛護等級要求的，運營、使用單位應(yīng) 當(dāng)制定方案進行整改。第十五條已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全愛護等級確

9、定后30日 內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運營、使用單位到所在地 設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息 系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運 行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。第十六條辦理信息系統(tǒng)安全愛護等級備案手續(xù)時，應(yīng)當(dāng)填寫信息系統(tǒng)安全等級愛護 備案表，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料：（-）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明:（-）系統(tǒng)安全組織機構(gòu)和治理制度;（三）系統(tǒng)

10、安全愛護設(shè)施設(shè)計實施方案或者改建實施方案：（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明：（五）測評后符合系統(tǒng)安全愛護等級的技術(shù)檢測評估報告；（六）信息系統(tǒng)安全愛護等級專家評審意見：（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全愛護等級的意見。第十七條信息系統(tǒng)備案后，公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情形進行審核，對符合等 級愛護要求的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級愛護備 案證明；發(fā)覺不符合本方法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通 知備案單位予以糾正：發(fā)覺定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知 備案單位重新審核確定。運營、使用單位或

11、者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本方法向公安機關(guān) 重新備案。第十八條受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信 息安全等級愛護工作情形進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系 統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管 部門進行。對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進行檢查。公安機關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進行檢查：（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定愛護等級是否準(zhǔn)確；（二）運營、使用單位安全治理制度、措施的落實情形;（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情形:（四）

12、系統(tǒng)安全等級測評是否符合要求：（五）信息安全產(chǎn)品使用是否符合要求：（六）信息系統(tǒng)安全整改情形：（七）備案材料與運營、使用單位、信息系統(tǒng)的符合情形：（八）其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。第十九條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)同意公安機關(guān)、國家指定的專門部門的安全監(jiān) 督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全愛護的信息 資料及數(shù)據(jù)文件：（-）信息系統(tǒng)備案事項變更情形；（二）安全組織、人員的變動情形；（三）信息安全治理制度、措施變更情形；（四）信息系統(tǒng)運行狀況記錄：（五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；（六）對信息系統(tǒng)開展等級測評的技術(shù)測評報告：（七）信

13、息安全產(chǎn)品使用的變更情形：（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告；（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。第二十條公安機關(guān)檢查發(fā)覺信息系統(tǒng)安全愛護狀況不符合信息安全等級愛護有關(guān)治理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當(dāng)依照整改 通知要求，按照治理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行整改。整改完成后，應(yīng)當(dāng)將整改報告向公安機關(guān)備 案。必要時，公安機關(guān)能夠?qū)φ那樾谓M織檢查。第二十一條第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中 華人民共和國境內(nèi)具有獨立的法人資格；（-）產(chǎn)品的核心技

14、術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；（三）產(chǎn)品研制、生產(chǎn)單位及其要緊業(yè)務(wù)、技術(shù)人員無犯罪記錄；（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有有意留有或者設(shè)置漏洞、后門、木馬等程序和功 能：（五）對國家安全、社會秩序、公共利益不構(gòu)成危害：（六）對已列入信息安全產(chǎn)品認(rèn)證名目的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機構(gòu)頒發(fā) 的認(rèn)證證書。第二十二條第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級愛護測評機構(gòu)進行測 評：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）：（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；（四）工作人員僅限于中國公民;（五

15、）法人及要緊業(yè)務(wù)、技術(shù)人員無犯罪記錄;（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本方法對信息安全產(chǎn)品的要求：（七）具有完備的保密治理、項目治理、質(zhì)量治理、人員治理和培訓(xùn)教育等安全治理 制度：（八）對國家安全、社會秩序、公共利益不構(gòu)成威逼。第二十三條從事信息系統(tǒng)安全等級測評的機構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：（-）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公平的檢測評估服務(wù)， 保證測評的質(zhì)量和成效：（二）保守在測評活動中知悉的國家隱秘、商業(yè)隱秘和個人隱私，防范測評風(fēng)險：（三）對測評人員進行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安 全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實。第三章等級愛護的實施

16、與治理第九條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照信息系統(tǒng)安全等級愛護實施指南具體實 施等級愛護工作。第十條信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本方法和信息系統(tǒng)安全等級愛護定級指南 確定信息系統(tǒng)的安全愛護等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)能夠由主管部門統(tǒng)一確定安全愛護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安 全愛護等級專家評審委員會評審。第十一條信息系統(tǒng)的安全愛護等級確定后，運營、使用單位應(yīng)當(dāng)按照國家信息安全等 級愛護治理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全愛護等級需求的信 息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)

17、或者改建工作。第十二條在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當(dāng)按照運算機信息系統(tǒng)安全愛 護等級劃分準(zhǔn)則(GB17859-1999).信息系統(tǒng)安全等級愛護差不多要求等技術(shù)標(biāo)準(zhǔn)， 參照信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006),信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270-2006).信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求 (GB/T20272-2006).信息安全技術(shù)數(shù)據(jù)庫治理系統(tǒng)安全技術(shù)要求(GB/T20273-2006)、 信息安全技術(shù)服務(wù)器技術(shù)要求、信息安全技術(shù)終端運算機系統(tǒng)安全等級技術(shù)要求 (GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安

18、全設(shè)施。第十三條運營、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全治理要求(GB/T2 0269-2006),信息安全技術(shù)信息系統(tǒng)安全工程治理要求(GB/T20282-2006).信息 系統(tǒng)安全等級愛護差不多要求等治理規(guī)范，制定并落實符合本系統(tǒng)安全愛護等級要求的安 全治理制度。第十四條信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本方法 規(guī)定條件的測評機構(gòu)，依據(jù)信息系統(tǒng)安全等級愛護測評要求等技術(shù)標(biāo)準(zhǔn)，定期對信息系 統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，第四級信 息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)專門安全需求進行等級 測評。信

19、息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全愛護制度 及措施的落實情形進行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次自查，第四級信息系統(tǒng) 應(yīng)當(dāng)每半年至少進行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)專門安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全愛護等級要求的，運營、使用單位應(yīng) 當(dāng)制定方案進行整改。第十五條已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全愛護等級確定后30日 內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運營、使用單位到所在地 設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。隸屬于中央的在京單位

20、，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息 系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運 行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。第十六條辦理信息系統(tǒng)安全愛護等級備案手續(xù)時，應(yīng)當(dāng)填寫信息系統(tǒng)安全等級愛護 備案表，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機構(gòu)和治理制度；（三）系統(tǒng)安全愛護設(shè)施設(shè)計實施方案或者改建實施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明：（五）測評后符合系統(tǒng)安全愛護等級的技術(shù)檢測評估報告；（六）信息系統(tǒng)安全愛護等級專家評審意見：（七）主管部門審核批準(zhǔn)

21、信息系統(tǒng)安全愛護等級的意見。第十七條信息系統(tǒng)備案后，公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情形進行審核，對符合等 級愛護要求的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級愛護備 案證明；發(fā)覺不符合本方法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通 知備案單位予以糾正：發(fā)覺定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知 備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本方法向公安機關(guān) 重新備案。第十八條受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信 息安全等級愛護工作情形進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，

22、對第四級信息系 統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管 部門進行。對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進行檢查。公安機關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進行檢查：（-）信息系統(tǒng)安全需求是否發(fā)生變化，原定愛護等級是否準(zhǔn)確；（-）運營、使用單位安全治理制度、措施的落實情形；（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情形：（四）系統(tǒng)安全等級測評是否符合要求：（五）信息安全產(chǎn)品使用是否符合要求：（六）信息系統(tǒng)安全整改情形：（七）備案材料與運營、使用單位、信息系統(tǒng)的符合情形：（八）其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。第十九條信息系統(tǒng)運營、使用單位應(yīng)

23、當(dāng)同意公安機關(guān)、國家指定的專門部門的安全監(jiān) 督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全愛護的信息 資料及數(shù)據(jù)文件：（一）信息系統(tǒng)備案事項變更情形；（二）安全組織、人員的變動情形；（三）信息安全治理制度、措施變更情形；（四）信息系統(tǒng)運行狀況記錄：（五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；（六）對信息系統(tǒng)開展等級測評的技術(shù)測評報告：（七）信息安全產(chǎn)品使用的變更情形：（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告；（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。第二十條公安機關(guān)檢查發(fā)覺信息系統(tǒng)安全愛護狀況不符合信息安全等級愛護有關(guān)治 理規(guī)范和技術(shù)標(biāo)準(zhǔn)

24、的，應(yīng)當(dāng)向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當(dāng)依照整改 通知要求，按照治理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行整改。整改完成后，應(yīng)當(dāng)將整改報告向公安機關(guān)備 案。必要時，公安機關(guān)能夠?qū)φ那樾谓M織檢查。第二十一條第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中 華人民共和國境內(nèi)具有獨立的法人資格；（-）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán):（三）產(chǎn)品研制、生產(chǎn)單位及其要緊業(yè)務(wù)、技術(shù)人員無犯罪記錄;（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有有意留有或者設(shè)置漏洞、后門、木馬等程序和功 能：（五）對國家安全、社會秩序、公共利益不構(gòu)成危害：（六）對已列入信息安全產(chǎn)品認(rèn)證名目的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機構(gòu)頒發(fā) 的認(rèn)證證書。第二十二條第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級愛護測評機構(gòu)進行測 評：（一）在中華人民共和國境內(nèi)注冊成立（港澳今地區(qū)除外）：（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）;（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；（四）工作人員僅限于中國公民；（五）法人及要緊業(yè)務(wù)、技術(shù)人員無犯罪記錄；（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本方法對信息安全產(chǎn)品的要求：（七）具有完備的保密治理、項目治理、質(zhì)量