3. 信息系统主管部门及其建设、使用单位都应当本着“突出重点、兼顾一般，效费统一、合理保护”的原则。网络化信息系统中也要按等级保护要求，区别重点加强保护工作。在试点的基础上，开展信息系统安全等级保护建设。

4. 安全等级保护制度实行五个关键环节控制：

(1) 法律规范：国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法,完善信息安全保护法律体系。

(2) 管理与技术规范：制定符合国情的标准,建立等级保护体系。

(3) 实施过程控制：明确落实系统拥有者的安全责任制系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理，并承担应急管理责任，在信息系统生命周期内进行自管、自查、自评，建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。

(4) 结果控制：建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系，使用统一标准和工具开展系统安全等级保护检查评估工作。

(5) 监督管理：公安机关依法行政，督促安全等级保护责任制的落实，以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管，对监测评估机构实施监管。政府其他职能部门应当认真履行职责，依法行政，按职责开展信息安全等级保护专项制度建设工作，完善信息安全监督体系。这五个关键控制环节，构成了国家信息安全等级保护长效运行机制。国家通过控制这五个关键环节，就能够从宏观上把握信息安全等级保护制度建设。

5. 信息系统安全等级保护整体要求-PDRＭ模型：

(1) 防范与保护：由系统五个层面(物理、支撑系统、网络、应用、管理)分的安全控制机制构系统整体安全控制机制，包括内部防范、国家保护。对于大网络系统可引入安全域和边界的概念，即大域和子域。为了便于实现纵深分级防护，大型网络可以分解为最小网络单元，重要信息系统应当分解为最小子系统单元，简化基本模型为：安全计算环境、安全终端系统、安全集中控制管理中心、安全通信线路、最小安全防护边界。由小到大、从里到外实现多级纵深防范。对重点区域、重点部位应当采用综合措施进行重点防范。不同安全等级系统之间应当本着"知所必需、用所必需、共享必需、公开必需、互联通信必需"的信息系统安全控制管理原则，进行互联互通。系统安全集中控制管理中心应当向系统主管部门负责，并接受国家信息安全保护职能部门监督、指导，协助并支持国家信息安全保护职能部门安全等级保护工作。

(2) 监控与检查：包括对系统的安全等级保护状况的监控和检查，对服务器、路由器、防火墙等网络部件、系统安全运行状态、信息（包括有害信息和数据）的监控和检查。系统主管部门和国家信息安全职能部门都有职责和权力实施安全监控和检查。

(3) 响应与处置：事件发现、响应、处置、应急恢复。系统主管部门和国家信息安全职能部门都有职责和权力实施响应与处置。

6. 信息系统安全管理方面应当建立和完善各项安全管理制度，特别要建立完善组织责任管理、系统资源的管理、信息资源的管理、用户管理、密码管理、保密信息管理、事件管理等。

7. 不同安全等级网络系统之间应当按访问控制等防范控制措施尽可能实现纵横互连互通，符合信息安全等级保护和共享要求。

四、等级保护如何实施

等级保护如何实施应当在国家信息化领导小组的统一领导下，在国务院信息化工作办公室的统一组织、协调下，各级党部门及其各单位对其信息系统安全等级保护建设与管理负责。开展信息系统安全等级保护工作要坚持实行谁主管谁负责，谁运营谁负责，谁使用谁负责，谁提供安全服务谁负责。信息安全职能部门负责监督、检查、指导，并提供安全保护服务。