等级保护和分级保护的区别

第一部分：等保和分保的定位

信息安全技术 网络安全等级保护

是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

涉及国家秘密的信息系统分级保护

是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

第二部分：等保和分保的标准体系

信息安全技术 网络安全等级保护

GB/T：推荐性国家标准；

-GB/T1389-2017信息安全技术 网络安全等级保护定级指南

-GB/T22239-2019信息安全技术 网络安全等级保护等级保护基本要求

-GB/T25070-2019信息安全技术 网络安全等级保护安全设计技术要求

-GB/T28448-2019信息安全技术 网络安全等级保护测评要求

涉及国家秘密的信息系统分级保护

BMB:国家强制执行标准

-国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》

-国家保密标准BMB4-2000《电磁干扰器技术要求和测试方法》

-国家保密标准BMB5-2000《SM信息设备使用现场的电磁泄漏发射防护要求》

-国家保密标准BMB16-2004《涉及GJMM的信息系统安全隔离与信息交换产品技术要求》

-国家保密标准BMB17-2006《涉及GJMM的信息系统分级保护技术要求》

-国家保密标准BMB18-2006《涉及GJMM的信息系统工程监理规范》

-国家保密标准BMB20-2007《涉及GJMM的信息系统分级保护管理规范》

国家保密标准BMB23-2008《涉及GJMM的信息系统分级保护方案设计指南》

第三部分：等保和分保管理归口

信息安全技术 网络安全等级保护

公安部网络安全保卫局提出；

公安部信息系统安全标准化技术委员会归口。

涉及国家秘密的信息系统分级保护

国家保密局批准；

国家保密局归口。

第四部分：等保和分保的适用单位

信息安全技术 网络安全等级保护

重点保护对象是非涉密的涉及基础网络设施、信息系统(例如:云计算平台、物联网系统、工业控制系统、移动互联系统、其他系统)以及数据资源对象。基本建议如下：

第一级：一般适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。

第二级：一般适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。

第三级：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行信息系统；跨省或全国联网运行重要信息系统在省、地市分支系统；各部委官方网站；跨省（市）联接的信息网络；提供云计算平台的公司等。

第四级：一般适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。

第五级：一般适用于国家重要领域、重要部门中的极端重要系统。

涉及国家秘密的信息系统分级保护

是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。基本建议如下：

党政机关：人民法院、人民检察院、省级以上政府机关等

国防军工：航空、航天、兵器等

非公有制企业：部分非公有制企

第五部分：等保和分保的定级要求

信息安全技术 网络安全等级保护

根据等级保护相关管理文件，等级保护对象的安全保护等级分为以下五级：

第一级（自主保护）：等级保护对象受到破坏后，会对公民、法人和其他组织合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

第二级（指导保护）：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

第三级（监督保护）：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

第四级（强制保护）：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

第五级（专控保护）：等级保护对象受到破坏后，会对国家安全造成特别严重损害。

涉及国家秘密的信息系统分级保护

涉密信息系统按照所处理信息的最高密级，由低到高划分为秘密、机密和绝密三个等级；

因涉密原因，我们不对三个等级分别阐述，但涉密信息系统定级的秘密、机密和绝密三个等级依次不低于等级保护的第三级、第四级和第五级。

第六部分：等保和分保的工作流程

信息安全技术 网络安全等级保护

信息系统等级保护工作包括：

第一步：系统定级、备案；

第二步：系统差距测评分析；

第三步：安全建设整改；

第四步：等级保护测评实施；

第五步：等级保护监督检查。

涉及国家秘密的信息系统分级保护

涉密信息系统分级保护工作包括：

第一步：系统定级

第二步：方案设计

第三步：工程实施

第四步：系统测评

第五步：系统审批

第六步：日常管理

第七步：测评与检查

第八步：系统废止

第七部分：等保和分保的测评频率

信息安全技术 网络安全等级保护

第一级：两年至少进行一次等级测评；

第二级：两年至少进行一次等级测评；

第三级：一年至少进行一次等级测评；

第四级：一年至少进行一次等级测评；

第五级：根据特殊要求进行等级测评。

涉及国家秘密的信息系统分级保护

秘密级：两年至少进行一次安全保密测评或安全保密检查；

机密级：两年至少进行一次安全保密测评或安全保密检查；

绝密级：每年至少进行一次安全保密测评或安全保密检查。

第八部分：等保和分保的测评机构

信息安全技术 网络安全等级保护

国家信息安全等级保护工作协调小组办公室授权的信息安全等级保护测评机构，截至目前为止，全国有192家等级保护测评机构。

涉及国家秘密的信息系统分级保护

由国家保密工作部门授权的系统测评机构，具体数量未公布。