作為國家網(wǎng)絡(luò )安全等級保護標準體系的核心標準之一，《信息安全技術(shù) 信息系統安全等級保護頂 級指南》規定了定級的原理與方法，指導信息系統的運營(yíng)、使用單位如何開(kāi)展等級保護工作。

需要對自己的用戶(hù)證明自己安全能力的信息系統運營(yíng)或使用單位。

目前對國企有強制要求，未來(lái)可能會(huì )更普及。

國家發(fā)布實(shí)施的《計算機信息系統安全保護等級劃分準則》中將安全等級劃分為五個(gè)級別：第 一級：用戶(hù)自主保護級；第二級：系統審計保護級；第三級：安全標記保護級；第四級：結構化保護級；第五級：訪(fǎng)問(wèn)驗證保護級。

安全能力從第 一級到第五級逐漸增強。各部門(mén)、各單位應當依照等級保護實(shí)施指南及相關(guān)標準，根據實(shí)際安全需求，按照等級的確定原則，要求和方法，確定本部門(mén)、本單位所屬信息系統的安全保護等級，制定各自的安全等級保護解決方案，組織對現有信息系統進(jìn)行加固改造，逐步開(kāi)展新建系統的安全等級保護工作。

整體來(lái)說(shuō)一共有五個(gè)步驟，包括了：

Step1：系統定級。需要過(guò)等保的運營(yíng)單位要確定好定級對象，確定要過(guò)的系統等級，尋找當地公安認可的評測機構一起編寫(xiě)定級報告。如果確定需要通過(guò)三級等保，則還需要組織專(zhuān)家評審。

Step2：系統備案。系統投入運行的30日內由其運營(yíng)、使用單位到當地公安機關(guān)網(wǎng)監部門(mén)辦理備案手續。可以讓評測機構輔導進(jìn)行材料的準備和備案。

Step3：差距分析。評測機構根據確定的等級和《網(wǎng)絡(luò )安全等級保護基本要求》對信息系統進(jìn)行差距對比分析，告知運營(yíng)單位需要對信息系統及自身管理進(jìn)行哪些整改。運營(yíng)單位按照整改要求進(jìn)行安全建設和整改。建設整改的時(shí)間有3個(gè)月，一般根據系統的規模和復雜程度決定整改的時(shí)間，短的一周可以完成，長(cháng)的3個(gè)月左右。

Step4：等級測評。運營(yíng)使用單位提供符合等級保護要求的建設和整改完成的證據。由評測機構對系統等級符合情況進(jìn)行等級評測并出具評測報告。評測結束后將評測報告提交給公安機關(guān)部門(mén)進(jìn)行保存，完成等級評測。

Step5：監督檢查。定級為二級的系統評測當年復查一次即可。定級為三級的系統需要每年進(jìn)行評測檢查，由評測機構出具評測報告并由運營(yíng)使用單位提交給公安機關(guān)。定級為四級的系統需要每半年進(jìn)行評測檢查，由評測機構出具評測報告并由運營(yíng)使用單位提交給公安機關(guān)。

落實(shí)信息安全的管理制度和技術(shù)和系統上的信息安全措施。此階段主要分為管理整改和技術(shù)整改。管理整改主要涉及：

管理整改主要包括：

明確主管領(lǐng)導，和責任部門(mén)

落實(shí)安全崗位和人員

對安全管理現狀進(jìn)行分析

確定安全管理策略，制定安全管理制度

落實(shí)和執行確定的策略和制度

安全自查和調整

安全管理策略和制度中又包括：

人員安全管理

事件處置和應急響應

日常運行維護

設備和介質(zhì)管理

安全監測

……

技術(shù)整改主要是指部署和購買(mǎi)能夠滿(mǎn)足等保要求的系統，比如網(wǎng)頁(yè)防篡改、流量監測、網(wǎng)絡(luò )入侵監測等等，跟目前已有的技術(shù)能力對比，查缺補漏。