为确定信息系统的安全保护等级,首先要确定信息系统内各业务子系统在4个定级要素方面的赋值,然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级,再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级,最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。
具体步骤如图1所示。
图1确定信息系统系统保护等级的步骤具体描述如下:
1)参照4.2.1、4.2.2、4.2.3和4.2.4节内容为信息系统所属类型、业务信息类型、信息系统服务范围和业务依赖程度赋值;
2)根据6.1和6.2节内容确定两个定级指标??业务信息安全性等级和业务服务保证性的等级,业务信息安全性等级体现信息资产重要性,业务服务保证性等级体现信息系统服务重要性;
3)由两个定级指标的较高者确定业务子系统的安全保护等级;
4)由信息系统内所有业务子系统的最高等级,确定信息系统的安全保护等级。
值得注意的是,等级的确定可能不是一个过程就可以完成的,可能要经过信息系统划分、赋值、定级、调整、重新赋值、再定级、再调整的循环过程,通过不断反馈和调整,最终确定出较为适当的信息系统安全保护等级。 | 
