分級密碼管理

Ⅰ 信息安全等級保護管理辦法的第五章 信息安全等級保護的密碼管理

第三十四條
國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞後的危害程度以及密碼使用部門的性質等，確定密碼的等級保護准則。
信息系統運營、使用單位採用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標准。
第三十五條
信息系統安全等級保護中密碼的配備、使用和管理等，應當嚴格執行國家密碼管理的有關規定。
第三十六條
信息系統運營、使用單位應當充分運用密碼技術對信息系統進行保護。採用密碼對涉及國家秘密的信息和信息系統進行保護的，應報經國家密碼管理局審批，密碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規定和相關標准執行；採用密碼對不涉及國家秘密的信息和信息系統進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標准，其密碼的配備使用情況應當向國家密碼管理機構備案。
第三十七條
運用密碼技術對信息系統進行系統等級保護建設和整改的，必須採用經國家密碼管理部門批准使用或者准於銷售的密碼產品進行安全保護，不得採用國外引進或者擅自研製的密碼產品；未經批准不得採用含有加密功能的進口信息技術產品。
第三十八條
信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔，其他任何部門、單位和個人不得對密碼進行評測和監控。
第三十九條
各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中，發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標准要求的，應當按照國家密碼管理的相關規定進行處置。