等级保护的流程大概为：系统定级—系统备案—系统测评—整改阶段—系统复测(验收阶段)—监督检查。

信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。定级需要根据信息系统的实际情况合理定级。

第二级以上信息系统定级单位到所在地设区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。

信息系统运营、使用单位或者其主管部门应当在信息系统安全保护等级确定后30日内，到公安机关办理备案手续。

信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。系统测评主要包括以下环节：

1.物理安全

(1.1)机房防潮防湿

(1.2)机房人员安全管理制度

2.网络安全

(2.1)路由器

(2.2)交换机

(2.3)防火墙

(2.4)堡垒机

3.主机安全

(3.1)操作系统安全

(3.2)数据库安全

(3.3)中间件安全

4.数据安全

(4.1)是否有备份

(4.2)是否有加密

5.业务系统安全

(5.1)渗透安全

(5.2)账户管理

(5.3)权限分配

(5.4)日志审计

信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

对信息系统安全等级状况再次开展等级测评。测评完成之后出具“测评报告”。