信息系統建設完成後,運營使用單位或者其主管部門應當選擇符合規定條件的評估機構,按照信息系統安全等級保護評估要求等技術標準,定期對信息系統安全等級進行等級評估。三級信息系統至少每年分級壹次,四級信息系統至少每半年分級壹次,五級信息系統根據特殊安全要求分級。
系統工程實施後,涉密信息系統的建設和使用單位應當向保密部門提出申請,由國家保密局授權的系統測評機構按照國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統等級保護測評指南》對涉密信息系統進行安全測評。
涉密信息系統的密級、連接範圍、環境設施、主要應用、安全保密管理責任單位等發生變化時,其建設和使用單位應當及時報告負責審批的保密部門。保密部門應當根據實際情況,決定是否重新評估批準。
國家和地方各級保密部門依法對各地區、各部門涉密信息系統的等級保護進行監督管理,每兩年至少對涉密、涉密信息系統進行壹次保密檢查或系統評估,每年至少對絕密信息系統進行壹次保密檢查或系統評估。
各級密碼管理部門可以定期或不定期對信息系統等級保護中的密碼配置、使用和管理情況進行檢查和評估,對重要涉密信息系統的密碼配置、使用和管理情況至少每兩年檢查和評估壹次。
三級以上信息系統運營使用單位違反規定,未按照規定進行系統安全技術評估的,由公安機關、國家保密部門、國家密碼管理部門按照職責分工責令限期改正;逾期不改正的,給予警告,並將情況報告其上級主管部門,建議對直接負責的主管人員和其他直接責任人員進行處理,並及時反饋處理結果。