将全国的信息系统（包括网络）按照重要性和受破坏后的危害性分成五个安全保护等级（从第一级到第五级逐级增高），定级后第二级以上系统到公安机关备案，公安机关审核合格后颁发备案证明；各单位各部门根据系统等级按照国家标准进行安全建设整改；聘请测评机构进行等级测评；公安机关定期开展监督、检查、指导。

2017年6月1日，《中华人民共和国网络安全法》正式发布，第二十一条明确“国家实行网络安全等级保护制度……”

2017年5月，国家公安部发布《GT/T1389---2017网络安全等级保护定级指南》、《GAT/T1390.2---2017网络安全等级保护基本要求 》等4个公共安全行业等级保护标准

■ 其他等级保护相关法律法规

⦁ 个人信息保护法

⦁ 重要数据和敏感信息保护条例（中国版GDPR）

⦁ 关键信息基础设施保护条例

⦁ 其他行业性网络安全合规要求

■ 信息安全等级保护2.0所涉及的行业

1.金融，尤其是互联网金融 （不做等保不允许经营，监管最严）

2.医疗 （各大医院系统必须做等保，互联网医疗要想上线取得线上诊疗资质，必须过等保）

3.教育 （211，985大学必须做等保，互联网+教育如学生管理系统、学校网站等重要系统必须做等保）

4.能源 (上级主管部门要求）

5.通信 (上级主管部门要求）

6.交通 (上级主管部门要求）

7.政府机关，企事业单位，央企（等保和负责人的绩效考核挂钩）

8.征信行业（行业要求必须做等保）

9.软件开发（行业或者甲方要求必须做等保）

10.物联网（行业或者甲方要求必须做等保）

11.工业数据安全（行业或者甲方要求必须做等保）

12.大数据（行业或者甲方要求必须做等保）

13.云计算 （阿里云，华为云，云电话，云视频，云服务等等）

14.快递行业（不做等保不给换许可证）

15.酒店行业（属于最近严查行业）

■ 信息系统的保护等级分为以下五级

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级-重要性定级。网络安全等级保护工作的作用对象，主要包括基础网络设施、信息系统（如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统）以及数字资源等。

■ 信息系统确定的等级-重要性定级

• 定级要素一：受侵害的客体

• 定级要素二：对客体的侵害程度

• 定级要素与安全保护等级的对应关系

■ 定级方法

• 系统识别

• 识别单位基本信息

• 识别管理框架

• 识别业务种类和业务流程

• 识别信息

• 识别网络结构

• 识别主要的软硬件设备

• 识别用户类型和分布

■ 系统划分

• 分析安全管理责任，确定管理边界

• 分析网络结构和已有内外部边界

• 分析业务流程和业务间关系

• 管理机构

• 业务特点

• 分析物理位置的差异

■ 定级流程

1. 确定定级对象

2. 初步确定等级

3. 专家评审

4. 主管部门审核

5. 公安机关备案审查