• 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
• 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
• 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
• 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
• 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
  

所有的网络设备、安全设备、重要服务器、数据库服务器、应用业务系统不存在弱口令，空口令账户登录情况

在确保无弱口令和空口令的前提下，所有重要设备都需要采用双因子认证方式登录
尤其是针对核心业务应用系统、不能采用基本的用户名/口令

常用做法采用令牌、智能卡、生物指纹、虹膜识别、人脸识别等高阶认证技术

远程管理维护操作，通过堡垒机，统一身份认证系统实现对登录用户的身份鉴别，并定期改密码，同时采用sslvpn建立加密隧道，防止数据在传输时被窃听

承载关键业务系统的服务器进行单独区域划分
进行边界隔离，深层次过滤访问行为，管理制度不与许本地操作，或对本地操作进行访问控制

针对远程操作进行访问控制策略控制，部署堡垒机对用户行为进行访问控制

非业务系统的网络设备、主机设备、服务器设备等只需要进行默认账户删除、修改默认口令、无法通过默认账户以及默认口令登录就可以满足最基本的要求。

防火墙进行网络攻击行为检测分析和记录行为，使用数据库设计对数据库访问行为进行审计。

使用第三方日志审计系统，除进行常规的日志记录收集外，对日志进行关联分析，筛查可能存在的安全风险。

需对所有应用业务系统产生的重要数据都要在本地进行备份，对于一些特殊的领域，如金融、交通等需要进行异地备份，原则上同城异地机房直接距离不低于为30公里，跨省市异地机房直线距离不低于100公里。