一个信息系统的安全等级相当于这个信息系统能够承受风险的标签，等级越高，防御力度就越大，控制粒度就越细，安全感就越强，风险就越小，但投入也就越大，反之亦然。所以，如何根据一个组织的真实情况进行定级就显得尤为重要，而所有这些问题的基础都是围绕资产识别展开的。

　　在任何一个组织中，信息安全的目的始终都是用来保障组织业务的正常运行。因此本文在资产的识别过程中试图将组织的业务安全这个潜在的抽象概念映射成资产的安全这个可以定性和定量测量评估的概念上来，从而能够科学地把握组织的业务安全需求及其变化。信息资产评估流程图如图l所示。

　　3基于业务的信息资产识别方法

　　对于任何一个组织和机构而言，安全的目的始终都是保障组织业务的正常运行。因此，资产识别过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析。我们将组织的业务安全映射成资产的安全，使得我们能够科学地把握组织的业务安全需求及其变化l_4]。

　　基于业务的信息资产识别方法，第一步就是要全面掌握受评单位的各项业务，要了解把握组织业务的类别、分布，组织的关键业务和附属业务[5]。

　　我们可以通过以下方法和途径全面了解掌握组织的业务：首先，仔细分析受评单位信息化建设的有关文档，比如《信息化发展战略书》、《信息化建设实施计划》、《信息化建设实施方案》等，通过这些文档，我们可以大体了解该组织的战略规划、建设目标、组织结构等大量翔实的信息，从中可以凝练出被评估单位的业务战略；其次，通过与受评单位分管信息化建设相关领导和工作人员交流，更深层次了解该组织的业务战略，同时可以了解其信息化建设状况；最后，通过到各个业务部门实地考察信息系统的应用情况来考察业务战略的实施情况。通过以上三个途径，我们就能很好的了解组织的相关业务。第二步，我们要把组织的业务战略映射到具体的资产上来。通过分析查阅组织的各种软、硬件资料、网络拓扑结构、网络供应商和软件供应商的相关资料以及组织信息系统有关的各类管理体系文档，我们就能很好地了解该组织的业务是如何体现在各种信息资产上面的。