信息系统的分级原则
    当今相互连接和互相依赖的信息环境中包含了多种平台与技术，信息系统很可能会面临各种威胁(包括有意威胁和无意威胁)，这些威胁和系统脆弱性会对系统产生诸如核心信息失密、主要资产遭到破坏乃至整个信息系统瘫痪等类型的安全影响，因此，对信息系统面临的安全风险需要划分适当的安全级别，在此基础上，对我国所有的信息系统进行合理分类，并采取与之相适应的安全保证措施，从而保障国家的信息安全保障体系的建设。
    信息系统安全保障的分级，需要先根据信息系统所处理信息的机密性、完整性和可用性特征以及信息和信息系统价值划分定义其使命类，然后考虑信息安全保障所要处理的威胁级别，最后再根据使命类和威胁级别的矩阵确定相对应的信息系统安全保障级(ISAL) 要求。
    由于各信息系统的安全保障要求和信息系统的使命不同，信息系统安全保障级(ISAL) 需要根据相关国家、政府部门、行业等的法律、法规、规范、要求来具体制定，并最终反映在相关的信息系统安全测评准则之中，因此此处所列出的信息系统安全保障级(ISAL) 仅作为原理性参考说明。
    (1)信息系统使命分类
    根据机密性、完整性和可用性特征以及信息和信息系统价值，将信息系统划分为如表7-4 。

    (2) 信息系统威胁分级
    一般将信息系统的威胁分为7 级，如表7-5 所示。

    (3)信息系统安全保障级(ISAL) 矩阵
    得到了信息系统的使命类和信息系统的威胁分级，就可以利用表7-6对信息系统的安全保障级作出要求。信息系统安全保障级是信息系统技术、管理、工程的分类分级的综合评定。信息系统安全保障级需要根据相关国家、政府部门、行业等的法律、法规、规范和要求来具体制定并最终反映在信息系统安全保障评估框架之中。信息系统安全保障级是一个循序渐进、不断完美和深入的过程，高等级安全保障级必须建立在完成低安全保障级别完成的基础上。高等级的安全保障级是低等级保障级的基础上不断能力成熟、完善和发展的结果。