定級對象
如果信息系統只承載一項業務，可以直接為該信息系統確定等級，不必劃分業務子系統。

如果信息系統承載多項業務，應根據各項業務的性質和特點，將信息系統分成若干業務子系統，分別為各業務子系統確定安全保護等級，信息系統的安全保護等級由各業務子系統的最高等級決定。信息系統是進行等級確定和等級保護管理的最終對象。

信息系統的劃分
一個組織機構內可能運行一個或多個信息系統，這些信息系統的安全保護等級可以是相同的，也可以是不同的。為體現重點保護重要信息系統安全，有效控制信息安全建設成本，優化信息安全資源配置的等級保護原則，在進行信息系統的劃分時應考慮以下幾個方面：

1)相同的管理機構
信息系統內的各業務子系統在同一個管理機構的管理控制之下，可以保證遵循相同的安全管理策略。
2)相同的業務類型
信息系統內的各業務子系統具有相同的業務類型，安全需求相近，可以保證遵循相同的安全策略。
3)相同的物理位置或相似的運行環境
信息系統內的各業務子系統具有相同的物理位置或相似的運行環境意味著系統所面臨的威脅相似，有利于采取統一的安全保護。

信息系統和業務子系統
按照信息系統的定義，典型的信息系統應由計算機硬件設備（包括服務器設備、客戶端設備、打印機及存儲器等外圍設備）、計算機網絡硬件設備（包括交換機、路由器、各種適配器以及通信線路等）、安裝于這些硬件設備上的軟件、所提供的服務以及相關的人員構成。信息系統內的各業務子系統一般有較為緊密的關聯，可能存在共用設備或較為頻繁的數據交換。

業務子系統是按照信息系統所承載的業務對信息系統進行劃分所形成的子系統。業務子系統是信息系統中可以為定級要素賦值的最小單元，業務子系統應具有信息系統的全部特點，應該是由計算機硬件、計算機網絡硬件以及安裝于這些硬件上的軟件、提供的服務以及相關人員構成的一個有形實體，并且承載確定的業務。

如無特殊說明，本文以下各章節所描述的信息系統指信息系統和業務子系統。