业务系统是企事业单位中最重要的信息资产之一，直接关系到企事业单位的运营和安全。在网络安全工作中，我们通常以业务系统为对象开展等级保护测评、风险评估、渗透测试。因此，对业务系统进行分级管理，可以帮助企事业单位确定哪些系统需要更高的安全级别，并采取相应的措施来保护敏感数据和信息。但是，基于现实中很多企业缺乏专业的网络安全人员、或人员水平参差不齐的情况，如果有一种简便的业务系统分级方法，将可以有效地缩小水平差、提高工作效率。

本文展示的方法是大数据公司在实践尝试过程中总结而出的，从后果、范围、措施等维度将业务系统划分为四级，由低至高分别为L1级、L2级、L3级、L4级。分级方法采用以下四个步骤：

步骤一. 明确系统被入侵或数据泄漏的后果

第一步考虑该业务系统被恶意攻击者入侵成功或其中数据泄漏，产生的后果有多影响。这个后果同样分为四级，由低至高分别为无影响、轻微、一般、严重。按照下表进行区分：

步骤二. 明确系统可被访问的范围规模

第二步考虑该业务系统可以被多少人访问，其规模有多大。这个规模可能有人会误以为是用户规模，其实不然。用户规模是指已注册或使用该业务系统的真实用户，但是这里仅仅指可以通过网络访问到该系统的人数。举个例子来说，处于内网中的OA系统，其可访问的人数肯定没有处于互联网中的门户系统多，但是其用户规模却要更多。

这个范围规模分为三级，由低至高分别为较小范围、较大范围、超大范围。按照下表进行区分：

步骤三.初步定级

第三步将根据前两步明确的后果和范围进行初步定级，其定级方法参考下表：