1.对信息系统综合分析和合理分解，输出信息系统详细描述文件。
2.确定定级对象的安全保护等级，起草定级报告。
3.报经上级行业主管部门审批同意。
4.填写备案表，在公安机关办理备案手续。

系统运营、使用单位须根据已确定的安全保护等级，进行：

1.信息系统安全需求分析
2.信息系统保护方案设计
3.信息系统改建方案设计
4.信息系统安全管理制度制定

1.选择具有国家相关技术资质和安全资质的测评机构。
2.申请对信息系统进行安全等级保护测评。
3.获得客观、公正的检测评估报告。
4.定期对信息系统安全状况、安全保护制度及措施落实情况进行自查。

1.选择具有国家相关技术资质和安全资质的测评机构。
2.申请对信息系统进行安全等级保护测评。
3.获得客观、公正的检测评估报告。
4.定期对信息系统安全状况、安全保护制度及措施落实情况进行自查。
5.检查信息安全产品选择和使用。
6.检查聘请测评机构开展技术测评工作情况。
7.检查定期自查情况。

1. 对不符合信息安全等级保护有关管理规范和技术标准要求的信息系统，通知其运维使用单位限期整改。
2. 逾期不改的，给予警告并向用户单位上级主管部门通报。