2004年9月15日，公安部联合国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室共同发布了公通字【2004】66号文-《关于信息安全等级保护工作的实施意见》，这份法规文件的发布标志着等级保护工作在我们国家已开始正式推动实施。自66号文发布至今已有14个年头了，等级保护制度也成为我们国家信息安全保障工作的一项基本制度、基本国策，促进国家信息化发展、维护国家信息安全的根本保障，也是国家和企业开展信息安全工作的基本方法和有效抓手。

正所谓“实践出真知”，十多年的等级保护制度实践成果，充分证明了这项基本制度很好的适应了我国国情，充分调动了国家、法人和其他组织及公民的积极性，有效发挥各方面的作用，达到关键信息基础设施的有效保护目的，增强安全保护的整体性、针对性和实效性，使得信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展起到了非常重要的推动作用。

那么，什么是信息安全等级保护制度，它包含哪些内容呢？在公通字【2004】66号文中已给出了明确了定义，信息安全等级保护主要包含三项内容：
对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护（这是信息安全等级保护制度的核心工作，也是最重要的工作）；

对信息系统中使用的信息安全产品实行按等级管理（即各单位使用的安全产品应该是分等级的，定了三级的系统不能使用二级及以下的安全产品）；

对信息系统中发生的信息安全事件分等级响应、处置。

如果用一句话进行概括就是：信息和信息系统重要程度有多高，安全保护就应当有多强，既不能保护不足，也不能过渡保护。这其中的要点就是平衡安全与成本。
其中提到的信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。
对信息和信息系统分等级实施保护。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益可能造成的危害程度，66号文中将信息和信息系统的安全保护等级共分五级：
第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。系统运营者可依照国家管理规范和技术标准进行自主保护。

第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。系统运营者要在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护。

第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。系统运营者依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。

第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。系统运营者依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。

第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。系统运营者依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。

在我们国家1999年出台的第一个关于等级保护的标准《GB/T 17859 计算机信息系统安全等级划分准则》中又按照信息系统安全机制的多与少， 强与弱也划分了五个等级，由于这个标准是99年制定的，当时对一些问题考虑得还是不完善的，所以现在已经很少这么提了。
第一级：用户自主保护级

第二级：系统审计保护级

第三级：安全标记保护级

第四级：结构化保护级

第五级：访问验证保护级

这五个等级和66号文中划分的1、2、3、4、5既有相通的地方，又有不同的地方。66号文中的五个等级的确并不是根据采取的安全机制的多少和强弱来确定等级，而是根据你的信息资产的重要程度来确定安全等级的。

后来，在公通字[2007]43号文-《信息安全等级保护管理办法》中又把这些名字都去掉了，只是叫一级、二级、三级、四级、五级，这五个级别了。

国家对信息安全产品的使用实行分等级管理。按照信息安全产品的使用要根据可控性、可靠性、安全性和可监督性这四个属性确定信息系统使用的安全产品等级。这四个属性在正式的文件里没有体现，43 号文里没有提到这四个属性。但是43号文里指了信息系统安全专用产品应该是国内生产的，源代码这些东西应该是国内生产的。具体条文如下：
第三级以上信息系统应当选择使用符合以下条件的信息安全产品：
（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；
（二）产品的核心技术、关键部件具有我国自主知识产权；
（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；
（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；
（五）对国家安全、社会秩序、公共利益不构成危害；
（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。

可以看出，43号文里只是就安全性这个角度，给出了企业使用安全产品必须是国产这样一个要求，但是还没有明确这个信息安全产品等级究竟应该怎么划分。

很多安全厂商都会碰到这样的场景：用户跑过来问“我买了你的安全产品是不是达到了XXX等级？你的安全产品是不是符合XXX等级？”，我给他们的回答是否定的。要知道，看一款安全产品是否符合XXX等级，要看该产品是否符合国家制定的标准中对于XXX等级的要求，如果符合了标准，那就符合XXX安全等级。如果没有符合标准要求那就不符合XXX安全等级。举例来说，第三级从技术的角度应该对应着安全标记保护级，安全标记保护级里是要求实行最小授权，那就不应该再有超级管理员的身份。超级管理员必须分别为系统管理员、系统安全员和审计员。权限低的人活动都可以查询。但是管理员本人做的坏事，要把这个痕迹都擦掉，这个问题怎么解决？对于三级以上的信息系统，我们就要求这些东西是不能擦掉的，至少审计员必须是独立出来的。目前我们的安全产品虽然也设了审计员，但是超级用户还是存在的。这个问题就没有达到安全标记保护级的要求。若要安全产品与标准要求完全对应，是有点不太现实的，而且这也必将是一个漫长的过程，安全产品提升是需要过程的。

信息安全事件实行分等级响应、处置的制度。目前，我们国家已经把信息安全事件以国标的形式进行了分类和分等级。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围来确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后，分等级按照预案响应和处置，由国家监管部门牵头组织全社会的应急响应资源和你单位的应急响应能力相结合，最大限度的减轻信息安全事件造成的损失。