2确定定级对象

一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

（1）划分方法的选择

信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。进行信息系统划分的方法可以考虑管理机构、业务类型、物理位置等因素。

（2）信息系统划分

依据选择的系统划分原则，将一个组织机构内拥有的大型信息系统进行划分，划分出相对独立的信息系统并作为定级对象，应保证每个相对独立的信息系统具备定级对象的基本特征（具体特征参考612节）。在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。

（3）定级信息系统的详细描述

在对信息系统进行划分并确定定级对象后，应在信息系统总体描述文件的基础上，进一步增加信息系统划分信息的描述，准确描述一个大型信息系统中包括的定级对象的个数。所定级对象的信息系统描述主要内容包括：相对独立信息系统列表、每个定级对象的概述、每个定级对象的边界、每个定级对象的设备部署、每个定级对象支撑的业务应用及其处理的信息资产类型、每个定级对象的服务范围和用户类型和其他内容。

3确定受侵害的客体

在《信息系统安全等级保护定级指南》明确指出，在确定作为定级对象的信息系统受到破坏后所侵害的客体时，要按照如下顺序执行。首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。同时，需要注意的是各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。

1判断受侵害的客体是否是国家安全，可从以下几方面分析：影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益；影响国家重要的安全保卫工作；影响国家经济竞争力和科技实力；其他影响国家安全的事项。

2判断受侵害的客体是否是社会秩序、公共利益，可从以下几方面分析：影响国家机关社会管理和公共服务的工作秩序；影响各种类型的经济活动秩序；影响各行业的科研、生产秩序；影响公众在法律约束和道德规范下的正常生活秩序等；其他影响社会秩序的事项。

3判断受侵害的客体是否是公共利益，可从以下几方面分析：影响社会成员使用公共设施；影响社会成员获取公开信息资源；影响社会成员接受公共服务等方面；其他影响公共利益的事项。

4判断是侵害的客体是否是公民、法人和其他组织的合法权益，主要是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。

4确定对客体的侵害程度

侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果，确定其危害程度所采取的方法和所考虑的角度可能不同。在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：

如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；

如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。

不同危害后果的三种危害程度描述如下。

一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。

严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。

特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。

信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。

5确定定级对象的安全保护等级

定级对象的安全保护等级由系统服务安全等级和业务信息安全保护等级中最高的决定。

1根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表6-2业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。

表6-2业务信息安全保护等级矩阵表

2根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表6-3系统服务安全保护等级矩阵表，即可得到业务信息安全保护等级。

信息系统运营、使用单位依据《信息安全等级保护管理方法》和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级后，应撰写《信息系统安全等级保护定级报告》，具体报告格式请参考附录。

表6-3系统服务安全保护等级矩阵表

615等级如何审批和变更

信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后，为了保证定级合理、准确，可聘请领域专家进行评审。等级确定后，信息系统运营使用单位需要提交备案资料，对信息系统的定级的准确性进行审核。

1信息系统等级评审

初步确定信息系统安全保护等级后，可以聘请专家进行评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。

2信息系统等级的审批

信息系统运营、使用单位初步确定了安全保护等级后，有主管部门的，应当经主管部门审核批准。单位自建的信息系统（与上级单位无关），等级确定后是否上报上级主管部门审批，由单位自行决定。这里的主管部门一般是指行业的上级主管部门或监管部门。其跨省或者全国统一联网运行的信息系统，必须由其上级主管部门统一定级、统一审批，确保同类系统不因地区的差异而造成不一致的问题。

3公安机关审核

《信息安全等级保护管理方法》第十五条规定：信息系统运营、使用单位或者其主管部门应当在信息系统安全保护等级确定后30日内，到公安机关办理备案手续。公安机关收到备案材料后，应对信息系统所定安全保护等级的准确性进行审核。经审核合格的，公安机关出具《信息系统安全等级保护备案证明》。

公安机关的审核是定级工作的最后一道防线，应严格审核、高度重视。对定级不准的备案单位，在通知整改的同时，应当建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。备案单位仍然坚持原定等级的，公安机关可以受理其备案，但应当书面告知其承担由此引发的责任和后果，经上级公安机关同意后，同时通报备案单位上级主管部门。

4等级变更

在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应重新定级。