等级保护和分级保护的区别

在信息安全这一至关重要的领域中，等级保护与分级保护被视为两个核心且相辅相成的策略，共同构建起了坚不可摧的信息安全防护网。等级保护为分级保护提供了宏观的指导框架，确定了信息系统保护的基本方向和重点；而分级保护则是在等级保护的基础上，针对具体情境进行深度定制和优化，实现更为精准和高效的安全防护。

一、等级保护和分级保护的定义

1、等级保护，全称是信息安全等级保护，是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护是国家信息安全保障的基本制度、基本策略、基本方法。

2、分级保护，全称是涉密信息系统分级保护，是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

二、等级保护和分级保护的目前现状

1、等级保护：目前正在实行的是等级保护2.0版本（GB/T 22239一2019），是公安部第三研究所（公安部信息安全等级保护评估中心）牵头编写并落实主管工作，用来替代等级保护1.0版本（GB/T 22239-2008），该标准在2019年5月10日发布，具体实施日期是2019年12月1日，也是全行业目前都要去满足的标准。

2、分级保护：目前在用的是BMB17《涉及国家秘密的信息系统分级保护技术要求》规范，是由国家保密局牵头编写并发布。属于强制执行。

三、等级保护和分级保护的等级划分

1、等级保护分为五个级别，从低到高依次为：

第一级（自主保护级）：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级（指导保护级）：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级（监督保护级）：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级（强制保护级）：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级（专控保护级）：等级保护对象受到破坏后，会对国家安全造成特别严重损害。

实施流程：等级保护工作包括系统定级、系统备案、安全建设整改、等级测评和监督检查五个环节。其中，等级测评是评估信息系统是否满足相应等级的安全保护要求的重要手段。

2、分级保护分为三个级别，从低到高依次为：秘密级、机密级、绝密级

实施流程：分级保护工作包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查、系统废止八个环节。其中，系统测评是评估涉密信息系统是否满足相应等级的安全保护要求的关键步骤。

四、等级保护与分级保护的区别

1、保护对象不同：等级保护的保护对象是非涉密的信息系统，而分级保护的保护对象是涉密的信息系统。

2、发起部门和主管部门不同：等级保护由公安部门发起并主管，而分级保护由国家保密局发起并主管。

3、测评频率不同：

（1）等级保护第二级信息系统应每两年至少进行一次等级测评；

第三级信息系统应每年至少进行一次等级测评；

第四级信息系统：应每半年至少进行一次等级测评；

第一级信息系统不需要测评；

第五级信息系统一般适用于国家重要领域、重要部门中的极端重要系统，特殊行业特殊要求，不在等保测评机构的测评范畴。

（2）分级保护的秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查；

绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。

等级保护和分级保护都是国家信息安全保障的重要措施，它们共同构成了国家信息安全防护的体系。虽然保护对象和主管部门不同，但两者在保障信息系统安全方面的目标是一致的，都是为了提高信息系统的安全防护能力，降低安全风险。同时，两者在实施过程中也可以相互借鉴和补充，共同提升国家信息安全保障水平。