冠群金辰等级保护方法论参考最佳实践 CoBiT 基于 IT 过程控制来实现信息系统等级保护要求 IT 目标。信息系统安全等级保护是一个系统的工程，在本方法论指导下实现一系列的 IT 过程：依据《信息系统安全等级保护定级指南》对信息系统进行等级确定过程、依据《信息系统安全等级保护基本要求》设定不同等级安全建设所需实现目标过程、依据《信息系统安全等级保护实施指南》指导实现不同安全等级建设目标过程、依据《信息系统安全等级保护测评准则》来测试信息系统是否达到规定的等级保护要求过程。

企业目前最关心的是其业务系统，业务系统是否稳定运行、业务系统安全等级及其安全防护级别也是企业最关心的几个安全问题。在本等级保护建设方法论中从实现目标角度看是从高到低进行一系列的业务目标到 IT 目标的分解；当企业的业务目标确定后会为实现其业务目标而分解定义一系列的 IT 目标； IT 目标确定后会分解多个为实现其目标实现的流程目标；流程目标又可细分为其实现流程目标的活动目标 - 即具体的实现过程。

信息系统等级保护建设目标实现过程是通过 KPI 、 KGI 来绩效测量。通过其定义等级保护建设 KGI 来进行测量，通过实现等级保护建设不同阶段目标 KGI 指标来驱动实现更高的目标，最终实现符合信息系统等级保护建设的合法合规要求。在目标实现的过程中对活动目标的实现情况是通过 KPI 测量的。