1、確定業務信息安全性等級
將信息系統所屬類型的賦值（1，2，3）與業務信息類型的賦值（1，2，3）構成一個3?3矩陣，去掉不合理的交叉點，構成業務信息安全性等級矩陣，如表5所示。

表5 業務信息安全性等級矩陣表

2、確定業務服務保證性等級

將信息系統服務范圍的賦值（1，2，3）與業務依賴程度的賦值（1，2，3）構成一個3*3矩陣，構成業務服務保證性取值矩陣，如表6所示。

表6 業務服務保證性取值矩陣表

考慮信息系統服務范圍和業務依賴程度兩個因素賦值時均沒有涉及國家安全利益，因此增加調節因子k，以反映信息系統無法提供服務或無法提供有效服務所造成損失對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的影響程度。

調節因子k的取值范圍為大于0小于1的數值，可根據信息系統服務的影響程度參照表7進行選取

表7 調節因子取值表

將調節因子與業務服務保證性取值相乘，根據所得結果，選取相應的業務服務保證性等級。考慮到調節因子為主觀選取，存在一定的不確定性，相乘結果與業務服務保證性等級的對應中存在一定的交疊，對這一部分相乘結果，信息系統的相關定級人員可以根據本系統的具體情況適當選擇。
由于一級系統沒有必要調節，表8列出對業務服務保證性取值為2、3、4的調節結果。

表8 調節后的業務服務保證性等級

3、確定信息系統安全保護等級
業務子系統的安全保護等級由業務信息安全性等級和業務服務保證性等級較高者決定。
信息系統的安全保護等級由各業務子系統的最高等級決定。

信息系統安全保護等級的調整
根據本指南第4、5、6章的步驟和方法，信息系統的運行、使用單位確定的信息系統安全保護等級，信息系統的決策者或上級主管部門可根據系統的特殊需求進行調整，但調整只能調高等級而不能降低等級。

信息系統的安全保護等級和采取的基本安全保護措施是有對應關系的，信息系統的運行、使用單位雖然可以根據系統的特殊安全需求對一些安全保護措施進行增強，但整體上的安全保護水平還是原來的級別，如果考慮系統的特殊需求，需要加強保護，可提升級別，提高整體安全保護水平。
信息系統的決策者或上級主管部門可根據系統的特殊安全需求進行等級調整，可以參考以下因素：

1)上級主管部門在政策和管理方面的特殊要求。
2)預測業務信息可能會隨著時間的變化從量變轉化為質變。
3)業務依賴程度在將來會進一步提高，或隨著信息系統所承載的業務不斷完善和穩定，與信息系統并行的手工處理（或老的系統）的業務將有可能取消。
4)信息系統服務范圍隨著業務的發展，將會有較大的變化。