信息安全等級(jí)保護(hù)制度

第一條為標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)，制定本方法。其次條國(guó)家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)治理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)展監(jiān)視、治理。第三條國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家密碼治理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)視、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)展管理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。第四條信息系統(tǒng)主管部門應(yīng)當(dāng)依照本方法及相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)，督信息系統(tǒng)主管部門應(yīng)當(dāng)依照本方法及相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。第五條標(biāo)準(zhǔn)，履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。第六條國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)依據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第七條信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益?？椀暮戏?quán)益產(chǎn)生嚴(yán)峻損害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。造成嚴(yán)峻損害，或者對(duì)國(guó)家安全造成損害。造成特別嚴(yán)峻損害，或者對(duì)國(guó)家安全造成嚴(yán)峻損害。重?fù)p害。第八條息系統(tǒng)進(jìn)展保護(hù)，國(guó)家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)展監(jiān)視治理。范和技術(shù)標(biāo)準(zhǔn)進(jìn)展保護(hù)。范和技術(shù)標(biāo)準(zhǔn)進(jìn)展保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)展指導(dǎo)。范和技術(shù)標(biāo)準(zhǔn)進(jìn)展保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)展監(jiān)視、檢查。范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特地需求進(jìn)展保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)展強(qiáng)制監(jiān)視、檢查。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家治理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特別安全需求進(jìn)展保護(hù)。國(guó)家指定特地部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)展特地監(jiān)視、檢查。第九條第九條護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。第十條全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。第十一條照國(guó)家信息安全等級(jí)保護(hù)治理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》〔GB17859-1999〕、《信息系統(tǒng)安全等級(jí)保護(hù)根本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》〔GB/T20271-2023〕要求》〔GB/T20270-2023〕全技術(shù)要求》〔GB/T20272-2023〕庫(kù)治理系統(tǒng)安全技術(shù)要求》〔GB/T20273-2023〕、《信息系統(tǒng)安全等級(jí)技術(shù)要求》〔GA/T671-2023〕等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。第十三條治理要求》〔GB/T20269-2023〕、《信息安全技術(shù)信息系統(tǒng)安全工程治理要求》〔GB/T20282-2023〕、《信息系統(tǒng)安全等級(jí)保護(hù)根本要求》等治理標(biāo)準(zhǔn)，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全治理制度。第十四條中選擇符合本方法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)展一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)展一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特別安全需求進(jìn)展等級(jí)測(cè)評(píng)。統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)狀況進(jìn)展自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)展一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)展一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)展自查。要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案進(jìn)展整改。第十五條已運(yùn)營(yíng)〔運(yùn)行〕或建的其次級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。由主管部門統(tǒng)確定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。第十六條系統(tǒng)安全等級(jí)保護(hù)備案表》，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)供給以下材料：〔一〕系統(tǒng)拓?fù)錁?gòu)造及說(shuō)明；〔二〕系統(tǒng)安全組織機(jī)構(gòu)和治理制度；〔三〕系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；〔四證明；〔五〕測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告；〔六〕信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見；〔七〕主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見。第十七條行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；覺察不符合本方法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日10個(gè)工作日內(nèi)通知備案單位予以訂正；覺察定級(jí)不準(zhǔn)10個(gè)工作日內(nèi)通知備案單位重審核確定。運(yùn)營(yíng)、使用單位或者主管部門重確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)依據(jù)本方法向公安機(jī)關(guān)重備案。第十八條營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作狀況進(jìn)展檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)展。對(duì)第五級(jí)信息系統(tǒng)，應(yīng)當(dāng)由國(guó)家指定的特地部門進(jìn)展檢查。公安機(jī)關(guān)、國(guó)家指定的特地部門應(yīng)當(dāng)對(duì)以下事項(xiàng)進(jìn)展檢查：〔一〕是否準(zhǔn)確；〔二〕運(yùn)營(yíng)、使用單位安全治理制度、措施的落實(shí)狀況；〔三〕況的檢查狀況；〔四〕〔五〕〔六〕〔七〕；〔八〕第十九條特地部門的安全監(jiān)視、檢查、指導(dǎo)，照實(shí)向公安機(jī)關(guān)、國(guó)家指定的特地部門供給以下有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件：〔一〕〔二〕〔三〕〔四〕〔五〕狀況的檢查記錄；〔六〕〔七〕〔八〕結(jié)果報(bào)告；〔九〕其次十條公安機(jī)關(guān)檢查覺察信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級(jí)保護(hù)有關(guān)治理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營(yíng)、使用依據(jù)治理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)進(jìn)展整改。整改完成后，應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)，公安機(jī)關(guān)可以對(duì)整改狀況組織檢查。其次十一條第三級(jí)以上信息系統(tǒng)應(yīng)中選擇使用符合以下條件的信息安全產(chǎn)品：〔一〕國(guó)家投資或者控股的，在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格；〔二關(guān)鍵部件具有我國(guó)自主學(xué)問產(chǎn)權(quán)；〔三〕罪記錄；〔四洞、后門、木馬等程序和功能；〔五〕對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害；〔六信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。其次十二條第三級(jí)以上信息系統(tǒng)應(yīng)中選擇符合以下條件的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)展測(cè)評(píng)：〔一〕〔港澳臺(tái)地區(qū)除外〕；〔二〕企事業(yè)單位〔港澳臺(tái)地區(qū)除外〕；〔三〕〔四〕〔五〕〔六〕全產(chǎn)品的要求；〔七〕員治理和培訓(xùn)教育等安全治理制度；〔八〕其次十三條從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)的機(jī)構(gòu)，應(yīng)當(dāng)履行以下義務(wù)：從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)的機(jī)構(gòu)，應(yīng)當(dāng)履行以下義務(wù)：〔一〕遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，供給安全、客觀、公正的檢測(cè)評(píng)估效勞，保證測(cè)評(píng)的質(zhì)量和效果；〔二保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家隱秘、商業(yè)隱秘和個(gè)人隱私，防范測(cè)評(píng)風(fēng)險(xiǎn)；〔三對(duì)測(cè)評(píng)人員進(jìn)展安全，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和擔(dān)當(dāng)?shù)姆韶?zé)任，并負(fù)責(zé)檢查落實(shí)。其次十四條其次十四條涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的根本要求，依據(jù)國(guó)家保密工作部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際狀況進(jìn)展保護(hù)。非涉密信息系統(tǒng)不得處理國(guó)家隱秘信息等。其次十五條隱秘、機(jī)密、絕密三個(gè)等級(jí)。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息標(biāo)準(zhǔn)定密的根底上，依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)治理方法和國(guó)家保密標(biāo)準(zhǔn)BMB17-2023《涉及國(guó)家隱秘的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護(hù)等級(jí)。保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)視指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)展系統(tǒng)定級(jí)。其次十六條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級(jí)和建設(shè)使用狀況，準(zhǔn)時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并承受保密部門的監(jiān)視、檢查、指導(dǎo)。其次十七條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)中選擇具有涉密集成資質(zhì)的單位擔(dān)當(dāng)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)治理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，依據(jù)隱秘、機(jī)密、絕密三級(jí)的不同要求，結(jié)合系統(tǒng)實(shí)際進(jìn)展方案設(shè)計(jì)，實(shí)施分級(jí)保護(hù)，其保護(hù)水平總體上不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平。其次十八條涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)中選用國(guó)產(chǎn)品，并應(yīng)當(dāng)通過國(guó)家授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)展的檢測(cè)，通過檢測(cè)的產(chǎn)品由國(guó)家審核公布名目。其次十九條向保密工作部門提出申請(qǐng)，由國(guó)家授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB22-2023《涉及國(guó)家隱秘的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》，對(duì)涉密信息系統(tǒng)進(jìn)展安全保密測(cè)評(píng)?！渡婕皣?guó)家隱秘的信息系統(tǒng)審批治理規(guī)定》，向設(shè)區(qū)的市級(jí)以上保密工作部門申請(qǐng)進(jìn)展系統(tǒng)審批，涉密信息系統(tǒng)通過審批前方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在依據(jù)分級(jí)保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。第三十條涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系統(tǒng)審批或者備案時(shí)，應(yīng)當(dāng)提交以下材料：〔一〕系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見；〔二〕系統(tǒng)承建單位資質(zhì)證明材料；〔三〕系統(tǒng)建設(shè)和工程監(jiān)理狀況報(bào)告；〔四〕系統(tǒng)安全保密檢測(cè)評(píng)估報(bào)告；〔五〕系統(tǒng)安全保密組織機(jī)構(gòu)和治理制度狀況；第三十一條應(yīng)用、安全保密治理責(zé)任單位變更時(shí)，其建設(shè)使用單位應(yīng)當(dāng)準(zhǔn)時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根據(jù)實(shí)際狀況，打算是否對(duì)其重進(jìn)展測(cè)評(píng)和審批。第三十二條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB20-2023《涉及國(guó)家隱秘的信息系統(tǒng)分級(jí)保護(hù)治理規(guī)范》，加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密治理，定期進(jìn)展風(fēng)險(xiǎn)評(píng)估，消退泄密隱患和漏洞。第三十三條信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)視治理，并做好以下工作：〔一〕指導(dǎo)、監(jiān)視和檢查分級(jí)保護(hù)工作的開展；〔二理確定系統(tǒng)保護(hù)等級(jí)；〔三用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì)；〔四〕依法對(duì)涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)展監(jiān)視治理；〔五系統(tǒng)建設(shè)使用單位分級(jí)保護(hù)治理制度和技術(shù)措施的落實(shí)狀況；〔六級(jí)、機(jī)密級(jí)信息系統(tǒng)每?jī)赡曛辽龠M(jìn)展一次保密檢查或者系統(tǒng)測(cè)評(píng)，對(duì)絕密級(jí)信息系統(tǒng)每年至少進(jìn)展一次保密檢查或者系統(tǒng)測(cè)評(píng)；〔七〕了解把握各級(jí)各類涉密信息系統(tǒng)的治理使用狀況，準(zhǔn)時(shí)覺察和查處各種違規(guī)違法行為和泄密大事。第三十四條國(guó)家密碼治理部門對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)治理。依據(jù)被保護(hù)對(duì)象在國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度，被保護(hù)對(duì)象的安全防護(hù)要求和涉密程度，被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級(jí)保護(hù)準(zhǔn)則。遵照《信息安全等級(jí)保護(hù)密碼治理方法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼治理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十五條當(dāng)嚴(yán)格執(zhí)行國(guó)家密碼治理的有關(guān)規(guī)定。第三十六條統(tǒng)進(jìn)展保護(hù)。承受密碼對(duì)涉及國(guó)家隱秘的信息和信息系統(tǒng)進(jìn)展國(guó)家密碼治理局使用、運(yùn)行維護(hù)和日常治理等，應(yīng)當(dāng)依據(jù)國(guó)家密碼治理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；承受密碼對(duì)不涉及國(guó)家隱秘的信息和信息系統(tǒng)進(jìn)展保護(hù)的，須遵守《商用密碼治理?xiàng)l例》和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用狀況應(yīng)當(dāng)向國(guó)家密碼治理機(jī)構(gòu)備案。第三十七條運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)展系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的，必需承受經(jīng)國(guó)家密碼治理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)展安全保護(hù)，不得承受國(guó)外引進(jìn)或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得承受含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。第三十八條信息系統(tǒng)中的密碼及密碼設(shè)備的測(cè)評(píng)工作由國(guó)家密碼治理局認(rèn)可的測(cè)評(píng)機(jī)構(gòu)擔(dān)當(dāng)，其他任何部門、單位和個(gè)人不得對(duì)密碼進(jìn)展評(píng)測(cè)和監(jiān)控。第三十九條各級(jí)密碼治理部門可以定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和治理的狀況進(jìn)展檢查和測(cè)評(píng)，對(duì)重要涉密信息系統(tǒng)的密碼配備、使用和治理狀況每?jī)赡曛辽龠M(jìn)展一次檢查和測(cè)評(píng)。在監(jiān)視檢查過程中，覺察存在安全隱患或者違反密碼治理相關(guān)規(guī)定或者未到達(dá)密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)依據(jù)國(guó)家密碼治理的相關(guān)規(guī)定進(jìn)展處置。第四十條以下行為之一的，由公安機(jī)關(guān)、國(guó)家保密工作部門和國(guó)家密碼工作治理部門依據(jù)職責(zé)分工責(zé)令其限期改正；逾期不改正的，賜予警告，并向其上級(jí)主管部門通報(bào)狀況，建議對(duì)其直