第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。
    第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。
    第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。
    第六章 法律责任
    第四十条 第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：
    （一）未按本办法规定备案、审批的；
    （二）未按本办法规定落实安全管理制度、措施的；
    （三）未按本办法规定开展系统安全状况检查的；
    （四）未按本办法规定开展系统安全技术测评的；
    （五）接到整改通知后，拒不整改的；
    （六）未按本办法规定选择使用信息安全产品和测评机构的；
    （七）未按本办法规定如实提供有关文件和证明材料的；
    （八）违反保密管理规定的；
    （九）违反密码管理规定的；
    （十）违反本办法其他规定的。
    违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。
    第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。
    第七章 附则
    第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。
    第四十三条 本办法所称“以上”包含本数（级）。
    第四十四条 本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7号）同时废止。