信息系統(tǒng)定級(jí)是等保工作的首要環(huán)節(jié)，準(zhǔn)確的定級(jí)能夠避免后續(xù)工作中的很多彎路，也能盡量避免投資浪費(fèi)或定級(jí)過(guò)低而帶來(lái)的風(fēng)險(xiǎn)。
    信息系統(tǒng)定級(jí)大致可以分為五大步驟：
        確定定級(jí)對(duì)象——初步確定等級(jí)——專家評(píng)審——行業(yè)主管部門審核——公安機(jī)關(guān)備案審查。
        一
    確定定級(jí)對(duì)象
    一、定級(jí)準(zhǔn)備
        《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中指出等級(jí)保護(hù)對(duì)象通常是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)。主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。
        定級(jí)范圍：定級(jí)范圍包括本單位內(nèi)部建設(shè)、使用的承載生產(chǎn)、調(diào)度、管理、辦公等重要業(yè)務(wù)的信息系統(tǒng)。
        另外，定級(jí)對(duì)象還應(yīng)具備如下基本特征：
        1、具有唯一確定的安全責(zé)任單位。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過(guò)程的全部安全責(zé)任；則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任；則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。
        2、具有信息系統(tǒng)的基本要素。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件；如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。
        3、承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用。定級(jí)對(duì)象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的流程獨(dú)立；且與其他業(yè)務(wù)應(yīng)用沒(méi)有數(shù)據(jù)交換；且獨(dú)享所有信息處理設(shè)備。定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立；同時(shí)與其他業(yè)務(wù)應(yīng)用有少量交換；定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備；尤其是網(wǎng)絡(luò)傳輸設(shè)備。
        B、信息系統(tǒng)摸底
        開(kāi)展對(duì)所有需要定級(jí)的信息系統(tǒng)的摸底調(diào)查工作，掌握信息系統(tǒng)的基本情況，了解信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、用戶數(shù)量、系統(tǒng)結(jié)構(gòu)、部署方式等信息，為下一步明確定級(jí)范圍、進(jìn)行定級(jí)奠定基礎(chǔ)。

        二
    初步確定等級(jí)
        信息系統(tǒng)安全等級(jí)由受侵害客體和對(duì)客體的侵害程度兩大要素決定。
        A、受侵害的客體包括：公民、法人和其他組織的合法權(quán)益；社會(huì)秩序、公共利益；國(guó)家安全。
        注：確定作為定級(jí)對(duì)象的信息系統(tǒng)受到破壞后所侵害的客體時(shí)；應(yīng)首先判斷是否侵害國(guó)家安全；然后判斷是否侵害社會(huì)秩序或公眾利益；最后判斷是否侵害公民；法人和其他組織的合法權(quán)益。
        B、對(duì)客體的侵害程度分為：一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害。
        注：在針對(duì)不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)；應(yīng)參照以下不同的判別基準(zhǔn)：
        如果受侵害客體是公民、法人或其他組織的合法權(quán)益；則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)；如果受侵害客體是社會(huì)秩序、公共利益或國(guó)家安全；則應(yīng)以整個(gè)行業(yè)或國(guó)家的總體利益作為判斷侵害程度的基準(zhǔn)。
        《信息安全等級(jí)保護(hù)管理辦法》規(guī)定；信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)；一至五級(jí)等級(jí)逐級(jí)增高：
        第一級(jí)；信息系統(tǒng)受到破壞后；會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害；但不損害國(guó)家安全、社會(huì)秩序和公共利益。
        第二級(jí)；信息系統(tǒng)受到破壞后；會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害；或者對(duì)社會(huì)秩序和公共利益造成損害；但不損害國(guó)家安全。
        第三級(jí)；信息系統(tǒng)受到破壞后；會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害；或者對(duì)國(guó)家安全造成損害。
        第四級(jí)；信息系統(tǒng)受到破壞后；會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害；或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。
        第五級(jí)；信息系統(tǒng)受到破壞后；會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
        舉例：
        單位的信息系統(tǒng)A如果受到破壞后；不會(huì)對(duì)國(guó)家安全造成損害；但是會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害；對(duì)公民、法人和其他組織的合法權(quán)益造成一般損害；則參考（表一）該信息系統(tǒng)A的定級(jí)應(yīng)為三級(jí)。
        單位的信息B如果受到破壞后；不會(huì)影響國(guó)家安全；也不會(huì)對(duì)社會(huì)秩序和公共利益造成損害；但是對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害；則參考（表一）該信息系統(tǒng)A的定級(jí)應(yīng)為二級(jí)。
        （表一）定級(jí)要素與安全等級(jí)的關(guān)系

        三

專家評(píng)審
    初步確定信息系統(tǒng)等級(jí)后，單位可以聘請(qǐng)等級(jí)保護(hù)專家、行業(yè)專家、主管機(jī)關(guān)領(lǐng)導(dǎo)等外部專家，召開(kāi)信息系統(tǒng)定級(jí)評(píng)審會(huì)，對(duì)定級(jí)報(bào)告進(jìn)行外部評(píng)審，并形成評(píng)審意見(jiàn)。單位結(jié)合評(píng)審意見(jiàn)形成最終定級(jí)報(bào)告。（此步驟可以邀請(qǐng)測(cè)評(píng)機(jī)構(gòu)協(xié)助）

        四
    主管部門審核
        若單位有上級(jí)主管部門或行業(yè)主管單位，并對(duì)定級(jí)報(bào)告具有審批要求的，單位需將信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告報(bào)經(jīng)上級(jí)主管部門審批同意。

        五
    公安機(jī)關(guān)備案審查
        根據(jù)43號(hào)文《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門，應(yīng)到公安機(jī)關(guān)辦理備案手續(xù)，提交有關(guān)備案資料。
        注：已運(yùn)營(yíng)（運(yùn)行）的第二級(jí)以上信息系統(tǒng)；應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。
        新建第二級(jí)以上信息系統(tǒng)；應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)；由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。
        備案時(shí)應(yīng)當(dāng)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》（一式兩份）。第二級(jí)以上信息系統(tǒng)備案時(shí)需提交《備案表》表一、表二、表三。第三級(jí)以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測(cè)評(píng)完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料。