信息系统的安全保护等级分为五级:

　　第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。该级别是用户自主保护级。完全由用户自已来决定如何对资源进行保护，以及采用何种方式进行保护。

　　第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。该级别是系统审计保护级。本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时.可以根据审计记录，分析追查事故责任人，使所有的用户对自己行为的合法性负责。

　　第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害.或者对国家安全造成损害。该级别是安全标记保护级。除具有第二级系统审计保护级的所有功能外，它还要求对访问者和访问对象实施强制访问控制，并能够进行记录。以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记，监督、限制访问者的权限，实现对访问对象的强制访问控制。

　　第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。该级别是结构化保护级。将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，将安全保护机制划分为关键部分和非关键部分，对关键部分强制性地直接控制访问者对访问对象的存取，使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。