作為國家網路安全等級保護標準體系的核心標準之一，《資訊保安技術 資訊系統安全等級保護頂級指南》規定了定級的原理與方法，指導資訊系統的運營、使用單位如何開展等級保護工作。

1. 誰需要等級保護

需要對自己的使用者證明自己安全能力的資訊系統運營或使用單位。

目前對國企有強制要求，未來可能會更普及。

2.等級保護的五個級別

國家釋出實施的《計算機資訊系統安全保護等級劃分準則》中將安全等級劃分為五個級別：

第一級：使用者自主保護級；第二級：系統審計保護級；第三級：安全標記保護級；第四級：結構化保護級；第五級：訪問驗證保護級。

安全能力從第一級到第五級逐漸增強。各部門、各單位應當依照等級保護實施指南及相關標準，根據實際安全需求，按照等級的確定原則，要求和方法，確定本部門、本單位所屬資訊系統的安全保護等級，制定各自的安全等級保護解決方案，組織對現有資訊系統進行加固改造，逐步開展新建系統的安全等級保護工作。

3. 定級流程有哪些

整體來說一共有五個步驟，包括了：

Step1：系統定級。需要過等保的運營單位要確定好定級物件，確定要過的系統等級，尋找當地公安認可的評測機構一起編寫定級報告。如果確定需要透過三級等保，則還需要組織專家評審。

Step2：系統備案。系統投入執行的30日內由其運營、使用單位到當地公安機關網監部門辦理備案手續。可以讓評測機構輔導進行材料的準備和備案。

Step3：差距分析。評測機構根據確定的等級和《網路安全等級保護基本要求》對資訊系統進行差距對比分析，告知運營單位需要對資訊系統及自身管理進行哪些整改。運營單位按照整改要求進行安全建設和整改。建設整改的時間有3個月，一般根據系統的規模和複雜程度決定整改的時間，短的一週可以完成，長的3個月左右。

Step4：等級測評。運營使用單位提供符合等級保護要求的建設和整改完成的證據。由評測機構對系統等級符合情況進行等級評測並出具評測報告。評測結束後將評測報告提交給公安機關部門進行儲存，完成等級評測。

Step5：監督檢查。定級為二級的系統評測當年複查一次即可。定級為三級的系統需要每年進行評測檢查，由評測機構出具評測報告並由運營使用單位提交給公安機關。定級為四級的系統需要每半年進行評測檢查，由評測機構出具評測報告並由運營使用單位提交給公安機關。

4. 系統建設、整改包含哪些內容

落實資訊保安的管理制度和技術和系統上的資訊保安措施。此階段主要分為

管理整改

和

技術整改

。管理整改主要涉及：

管理整改主要包括：

明確主管領導，和責任部門

落實安全崗位和人員

對安全管理現狀進行分析

確定安全管理策略，制定安全管理制度

落實和執行確定的策略和制度

安全自查和調整

安全管理策略和制度中又包括：

人員安全管理

事件處置和應急響應

日常執行維護

裝置和介質管理

安全監測

……

技術整改主要是指部署和購買能夠滿足等保要求的系統，比如網頁防篡改、流量監測、網路入侵監測等等，跟目前已有的技術能力對比，查缺補漏。