2004年9月15日,由公安部與其他單位聯合下發《關於信息安全等級保護工作的實施意見》(66號文件),明確信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監督。信息安全等級保護制度遵循以下基本原則:
一、明確責任,共同保護
通過等級保護,組織和動員國家、法人和其他組織、公民共同參與信息安全保護工作;各方主體按照規範和標準分別承擔相應的、明確具體的信息安全保護責任。二、依照標準,自行保護
國家運用強制性的規範及標準,要求信息和信息系統按照相應的建設和管理要求,自行定級、自行保護。
三、同步建設,動態調整
信息系統在新建、改建、擴建時應當同步建設信息安全設施,保障信息安全與信息化建設相適應。因信息和信息系統的應用類型、範圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規範和技術標準的要求,重新確定信息系統的安全保護等級。等級保護的管理規範和技術標準應按照等級保護工作開展的實際情況適時修訂。
四、指導監督,重點保護
國家指定信息安全監管職能部門通過備案、指導、檢查、督促整改等方式,對重要信息和信息系統的信息安全保護工作進行指導監督。國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統,主要包括:國家事務處理信息系統(黨政機關辦公系統);財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關係到國計民生的信息系統;教育、國家科研等單位的信息系統;公用通信、廣播電視傳輸等基礎信息網絡中的信息系統;網絡管理中心、重要網站中的重要信息系統和其他領域的重要信息系統。