《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,由全国人民代表大会常务委员会于2016年11月7日公布,自2017年6月1日起施行。其中第二十一条规定：

第二十一条　国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

根据《信息安全技术 网络安全等级保护定级指南》（GB_T 22240-2020），等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序.公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:

第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益;

第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;

第三级,等级 保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;

第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;

第五级,等级保护对象受到破坏后，会对国家安全造成特别严重危害。

在网络安全等级保护建设整改过程中，会涉及到4个角色：网络运营者、公安机关、等级保护建设服务商、测评机构，主要有以下几个过程：

（一）定级备案

编写定级报告、填写定级定级备案表，完成在公安机关的定级备案。安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者应组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级；安全保护等级初步确定为第一级的等级保护对象，其网络运营者可自行确定最终安全保护等级。

等级保护对象定级工作一般流程

（二）差距分析

采用技术手段和管理手段发现系统安全现状与国家要求之间的差距。

（三）方案设计

依照国家相关标准，完成等级保护建设整改方案设计。

（四）整改实施

完成设备采购、策略配置、安全加固、制定管理制度等。

（五）等级测评

根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等法律法规规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息安全技术 网络安全等级保护测评要求》（GBT28448-2019）等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

等级测评必须由具有资质的测评机构完成，可访问中国网络安全等级保护网（http://www.djbh.net），通过信息查询栏目下查询相关机构信息。

定期开展测评后，公安机关会重新颁发新的备案证。