等级保护要求对于安全管理制度的作出了要求，由于信息系统的主要使用者的使用不当导致的系统风险时有发生，而且这个是本来可以预防和监管的，因此需要特别重视。

　　安全管理制度

　　管理制度：

　　a)应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等

　　b)应对安全管理活动中的各类管理内容建立安全管理制度;

　　c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程;

　　d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

　　制定和发布：

　　a)应指定或授权专门的部门或人员负责安全管理制度的制定

　　b)安全管理制度应具有统一的格式，并进行版本控制;

　　c)应组织相关人员对制定的安全管理制度进行论证和审定;

　　d)安全管理制度应通过正式、有效的方式发布;

　　e)安全管理制度应注明发布范围，并对收发文进行登记;

　　f)有密级的安全管理制度，应注明安全管理制度密级，并进行密级管理。

　　评审和修订：

　　a)应由信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;

　　b)应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理c)应明确需要定期修订的安全管理制度，并指定负责人或负责部门负责制度的日常维护

　　d) 应根据安全管理制度的相应密级确定评审和修订的操作范围。