确定信息系统安全保护等级主要依据《信息安全等级保护管理办法》和《网络安全等级保护定级指南》等相关标准，具体步骤如下：

确定定级对象：具有确定的主要安全责任主体的信息系统可作为定级对象。需注意避免将单一系统组件如服务器、终端或网络设备作为定级对象；云计算环境中，云服务客户侧和云服务商侧的云计算平台 / 系统需分别定级；大型云计算平台宜将云计算基础设施和辅助服务系统划分为不同定级对象；电信网、广播电视传输网等通信网络设施，可根据安全责任主体、服务类型或地域等因素划分定级对象；大数据根据安全责任主体情况确定是否独立定级。

初步确定等级：

评定业务信息安全被破坏的侵害程度：依据不同受侵害客体，从影响行使工作职能、导致业务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响等方面，评定业务信息安全被破坏对客体的侵害程度，分为一般损害、严重损害和特别严重损害。

评定系统服务安全被破坏的侵害程度：同样依据不同受侵害客体，从系统服务安全被破坏的角度，参照与业务信息安全类似的方面及损害程度划分，评定对客体的侵害程度。

确定业务信息安全保护等级和系统服务安全保护等级：根据业务信息安全和系统服务安全被破坏时所侵害的客体以及相应的侵害程度，分别确定业务信息安全保护等级和系统服务安全保护等级。

确定初步安全保护等级：将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的初步安全保护等级。

专家评审：安全保护等级初步确定为第二级及以上的定级对象，其网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审，并出具专家评审意见。

主管部门核准：有行业主管（监管）部门的，需将定级结果报请行业主管（监管）部门核准，并出具核准意见。

备案审核：定级对象的网络运营者按照相关管理规定，将定级结果提交公安机关进行备案审核。审核不通过，需组织重新定级；审核通过后最终确定定级对象的安全保护等级。

此外，信息系统安全保护等级分为五级。第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成一般损害，但不危害国家安全、社会秩序和公共利益。第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全。第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成危害。第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害。第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。