2008年发布《GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求 》简称为等保1.0。

本标准依据《中华人民共和国计算机信息系统安全 保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实 施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）而制定，是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准见附件。

一、定级准则

坚持自主定级、自主保护的原则。

应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益（受侵害客体）的危害程度等因素确定。

二、等级划分

第一级（自主保护级）

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级（指导保护级）

信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级（监督保护级）

信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级（强制保护级）

信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级（专控保护级）

信息系统受到破坏后，会对国家安全造成特别严重损害。

三、定级备案流程

1)确定作为定级对象的信息系统;

2)确定业务信息安全受到破坏时所侵害的客体;

3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度,依据表1得到业务信息安全保护等级;

表1 业务信息安全保护等级矩阵表

4)确定系统服务安全受到破坏时所侵害的客体;

5)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度,依据表2得到系统服务安全保护等级;

表2 系统服务安全保护等级矩阵表

6)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

上述步骤如图1确定等级一般流程所示。

备案流程：

填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》到公安机关备案。

四、等级保护测评

《信息安全等级保护管理办法》指出：“信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。”