信息系統(tǒng)定級是等保工作的首要環(huán)節(jié)，準確的定級能夠避免后續(xù)工作中的很多彎路，也能盡量避免投資浪費或定級過低而帶來的風險。
    信息系統(tǒng)定級大致可以分為五大步驟：
        確定定級對象——初步確定等級——專家評審——行業(yè)主管部門審核——公安機關(guān)備案審查。
        一
    確定定級對象
    一、定級準備
        《網(wǎng)絡安全等級保護基本要求》中指出等級保護對象通常是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)。主要包括基礎(chǔ)信息網(wǎng)絡、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。
        定級范圍：定級范圍包括本單位內(nèi)部建設(shè)、使用的承載生產(chǎn)、調(diào)度、管理、辦公等重要業(yè)務的信息系統(tǒng)。
        另外，定級對象還應具備如下基本特征：
        1、具有唯一確定的安全責任單位。作為定級對象的信息系統(tǒng)應能夠唯一確定其安全責任單位。如果一個單位的某個下級單位負責信息系統(tǒng)安全建設(shè)、運行維護等過程的全部安全責任；則這個下級單位可以成為信息系統(tǒng)的安全責任單位；如果一個單位中的不同下級單位分別承擔信息系統(tǒng)不同方面的安全責任；則該信息系統(tǒng)的安全責任單位應是這些下級單位共同所屬的單位。
        2、具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件；如服務器、終端、網(wǎng)絡設(shè)備等作為定級對象。
        3、承載單一或相對獨立的業(yè)務應用。定級對象承載“單一”的業(yè)務應用是指該業(yè)務應用的流程獨立；且與其他業(yè)務應用沒有數(shù)據(jù)交換；且獨享所有信息處理設(shè)備。定級對象承載“相對獨立”的業(yè)務應用是指其業(yè)務應用的主要業(yè)務流程獨立；同時與其他業(yè)務應用有少量交換；定級對象可能會與其他業(yè)務應用共享一些設(shè)備；尤其是網(wǎng)絡傳輸設(shè)備。
        B、信息系統(tǒng)摸底
        開展對所有需要定級的信息系統(tǒng)的摸底調(diào)查工作，掌握信息系統(tǒng)的基本情況，了解信息系統(tǒng)的業(yè)務類型、應用或服務范圍、用戶數(shù)量、系統(tǒng)結(jié)構(gòu)、部署方式等信息，為下一步明確定級范圍、進行定級奠定基礎(chǔ)。

        二
    初步確定等級
        信息系統(tǒng)安全等級由受侵害客體和對客體的侵害程度兩大要素決定。
        A、受侵害的客體包括：公民、法人和其他組織的合法權(quán)益；社會秩序、公共利益；國家安全。
        注：確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時；應首先判斷是否侵害國家安全；然后判斷是否侵害社會秩序或公眾利益；最后判斷是否侵害公民；法人和其他組織的合法權(quán)益。
        B、對客體的侵害程度分為：一般損害、嚴重損害、特別嚴重損害。
        注：在針對不同的受侵害客體進行侵害程度的判斷時；應參照以下不同的判別基準：
        如果受侵害客體是公民、法人或其他組織的合法權(quán)益；則以本人或本單位的總體利益作為判斷侵害程度的基準；如果受侵害客體是社會秩序、公共利益或國家安全；則應以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準。
        《信息安全等級保護管理辦法》規(guī)定；信息系統(tǒng)的安全保護等級分為以下五級；一至五級等級逐級增高：
        第一級；信息系統(tǒng)受到破壞后；會對公民、法人和其他組織的合法權(quán)益造成損害；但不損害國家安全、社會秩序和公共利益。
        第二級；信息系統(tǒng)受到破壞后；會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害；或者對社會秩序和公共利益造成損害；但不損害國家安全。
        第三級；信息系統(tǒng)受到破壞后；會對社會秩序和公共利益造成嚴重損害；或者對國家安全造成損害。
        第四級；信息系統(tǒng)受到破壞后；會對社會秩序和公共利益造成特別嚴重損害；或者對國家安全造成嚴重損害。
        第五級；信息系統(tǒng)受到破壞后；會對國家安全造成特別嚴重損害。
        舉例：
        單位的信息系統(tǒng)A如果受到破壞后；不會對國家安全造成損害；但是會對社會秩序和公共利益造成嚴重損害；對公民、法人和其他組織的合法權(quán)益造成一般損害；則參考（表一）該信息系統(tǒng)A的定級應為三級。
        單位的信息B如果受到破壞后；不會影響國家安全；也不會對社會秩序和公共利益造成損害；但是對公民、法人和其他組織的合法權(quán)益造成嚴重損害；則參考（表一）該信息系統(tǒng)A的定級應為二級。
        （表一）定級要素與安全等級的關(guān)系

        三

專家評審
    初步確定信息系統(tǒng)等級后，單位可以聘請等級保護專家、行業(yè)專家、主管機關(guān)領(lǐng)導等外部專家，召開信息系統(tǒng)定級評審會，對定級報告進行外部評審，并形成評審意見。單位結(jié)合評審意見形成最終定級報告。（此步驟可以邀請測評機構(gòu)協(xié)助）

        四
    主管部門審核
        若單位有上級主管部門或行業(yè)主管單位，并對定級報告具有審批要求的，單位需將信息系統(tǒng)安全保護等級定級報告報經(jīng)上級主管部門審批同意。

        五
    公安機關(guān)備案審查
        根據(jù)43號文《信息安全等級保護管理辦法》，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門，應到公安機關(guān)辦理備案手續(xù)，提交有關(guān)備案資料。
        注：已運營（運行）的第二級以上信息系統(tǒng)；應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
        新建第二級以上信息系統(tǒng)；應當在投入運行后30日內(nèi)；由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
        備案時應當提交《信息系統(tǒng)安全等級保護備案表》（一式兩份）。第二級以上信息系統(tǒng)備案時需提交《備案表》表一、表二、表三。第三級以上信息系統(tǒng)還應當在系統(tǒng)整改、測評完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料。