第九條信息系統(tǒng)運營、使用單位應當按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。第十條信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經主管部門審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。第十一條信息系統(tǒng)的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產品，開展信息系統(tǒng)安全建設或者改建工作。第十二條在信息系統(tǒng)建設過程中，運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術標準，參照《信息安全技術 信息系統(tǒng)通用安全技術要求》（GB/T20271-2006）、《信息安全技術 網(wǎng)絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術 操作系統(tǒng)安全技術要求》（GB/T20272-2006）、《信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求》（GB/T20273-2006）、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統(tǒng)安全等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。第十三條運營、使用單位應當參照《信息安全技術 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術 信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。第十四條信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。經測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。第十五條已運營（運行）或新建的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。第十六條辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應當同時提供以下材料：（一）系統(tǒng)拓撲結構及說明；（二）系統(tǒng)安全組織機構和管理制度；（三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案；（四）系統(tǒng)使用的信息安全產品清單及其認證、銷售許可證明；（五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；（六）信息系統(tǒng)安全保護等級專家評審意見；（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。第十七條信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正；發(fā)現(xiàn)定級不準的，應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當按照本辦法向公安機關重新備案。第十八條受理備案的公安機關應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應當會同其主管部門進行。對第五級信息系統(tǒng)，應當由國家指定的專門部門進行檢查。公安機關、國家指定的專門部門應當對下列事項進行檢查：（一） 信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準確；（二） 運營、使用單位安全管理制度、措施的落實情況；（三） 運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；（四） 系統(tǒng)安全等級測評是否符合要求；（五） 信息安全產品使用是否符合要求；（六） 信息系統(tǒng)安全整改情況；（七） 備案材料與運營、使用單位、信息系統(tǒng)的符合情況；（八） 其他應當進行監(jiān)督檢查的事項。第十九條信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數(shù)據(jù)文件：（一） 信息系統(tǒng)備案事項變更情況；（二） 安全組織、人員的變動情況；（三） 信息安全管理制度、措施變更情況；（四） 信息系統(tǒng)運行狀況記錄；（五） 運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；（六） 對信息系統(tǒng)開展等級測評的技術測評報告；（七） 信息安全產品使用的變更情況；（八） 信息安全事件應急預案，信息安全事件應急處置結果報告；（九） 信息系統(tǒng)安全建設、整改結果報告。第二十條公安機關檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關管理規(guī)范和技術標準的，應當向運營、使用單位發(fā)出整改通知。運營、使用單位應當根據(jù)整改通知要求，按照管理規(guī)范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備案。必要時，公安機關可以對整改情況組織檢查。第二十一條第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產品：（一）產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；（二）產品的核心技術、關鍵部件具有我國自主知識產權；（三）產品研制、生產單位及其主要業(yè)務、技術人員無犯罪記錄；（四）產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；（五）對國家安全、社會秩序、公共利益不構成危害；（六）對已列入信息安全產品認證目錄的，應當取得國家信息安全產品認證機構頒發(fā)的認證證書。第二十二條第三級以上信息系統(tǒng)應當選擇符合下列條件的等級保護測評機構進行測評：（一） 在中華人民共和國境內注冊成立（港澳臺地區(qū)除外）；（二） 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三） 從事相關檢測評估工作兩年以上，無違法記錄；（四） 工作人員僅限于中國公民；（五） 法人及主要業(yè)務、技術人員無犯罪記錄；（六） 使用的技術裝備、設施應當符合本辦法對信息安全產品的要求；（七） 具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；（八） 對國家安全、社會秩序、公共利益不構成威脅。第二十三條從事信息系統(tǒng)安全等級測評的機構，應當履行下列義務：（一）遵守國家有關法律法規(guī)和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風險；（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規(guī)定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。