网络安全等级保护是国家网络安全工作的基本制度、基本国策，是维护国家关键信息基础设施安全的重要手段。从1994年至今，网络安全等级保护制度工作经过实践及改进，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系，对我国的网络信息安全建设具有重要的指导作用。

【物理安全】机房物理访问控制、防火，防雷击，温湿度控制、电力供应，电磁防护。

【应用安全】应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。

【通信安全】包括网络架构，通信传输，可信验证。

【边界安全】包括边界防护，访问控制，入侵防范，恶意代码防护等。

【环境安全】 入侵防范，恶意代码防范，身份鉴别，访问控制，数据完整性、保密性，个人信息保护。

【管理安全】系统管理，审计管理，安全管理，集中管控。

1、定级：信息系统运营单位按照《网络安全等级保护定级指南》，自行定级，三级以上系统定级结论需进行专家评审。

2、备案：提交备案材料，信息系统定级申报获得通过后，30日内到公安机关办理备案手续。

3、 初次测评：信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是中、高危风险。

4、建设整改：依据差距分析和相关风险评估、整改方案进行落地整改及系统安全加固。

5、复测：对信息系统安全等级状况再次开展等级测评。测评完成之后出具“测评报告”。

6、监督检查：公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。同时，运营单位也应该积极开展自查工作。