為確定信息系統(tǒng)的安全保護等級，首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在4個定級要素方面的賦值，然后分別由4個定級要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性兩個定級指標的等級，再根據(jù)業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級確定業(yè)務(wù)子系統(tǒng)安全保護等級，最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級確定信息系統(tǒng)的安全保護等級。

具體步驟如圖1所示。

圖1確定信息系統(tǒng)系統(tǒng)保護等級的步驟具體描述如下：

1)參照4.2.1、4.2.2、4.2.3和4.2.4節(jié)內(nèi)容為信息系統(tǒng)所屬類型、業(yè)務(wù)信息類型、信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)依賴程度賦值；

2)根據(jù)6.1和6.2節(jié)內(nèi)容確定兩個定級指標??業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性的等級，業(yè)務(wù)信息安全性等級體現(xiàn)信息資產(chǎn)重要性，業(yè)務(wù)服務(wù)保證性等級體現(xiàn)信息系統(tǒng)服務(wù)重要性；

3)由兩個定級指標的較高者確定業(yè)務(wù)子系統(tǒng)的安全保護等級；

4)由信息系統(tǒng)內(nèi)所有業(yè)務(wù)子系統(tǒng)的最高等級，確定信息系統(tǒng)的安全保護等級。

值得注意的是，等級的確定可能不是一個過程就可以完成的，可能要經(jīng)過信息系統(tǒng)劃分、賦值、定級、調(diào)整、重新賦值、再定級、再調(diào)整的循環(huán)過程，通過不斷反饋和調(diào)整，最終確定出較為適當?shù)男畔⑾到y(tǒng)安全保護等級。