在信息安全這一至關重要的領域中，等級保護與分級保護被視為兩個核心且相輔相成的策略，共同構(gòu)建起了堅不可摧的信息安全防護網(wǎng)。等級保護為分級保護提供了宏觀的指導框架，確定了信息系統(tǒng)保護的基本方向和重點；而分級保護則是在等級保護的基礎上，針對具體情境進行深度定制和優(yōu)化，實現(xiàn)更為精準和高效的安全防護。

一、等級保護和分級保護的定義

1、等級保護，全稱是信息安全等級保護，是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和儲存、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。等級保護是國家信息安全保障的基本制度、基本策略、基本方法。

2、分級保護，全稱是涉密信息系統(tǒng)分級保護，是指涉密信息系統(tǒng)的建設使用單位根據(jù)分級保護管理辦法和有關標準，對涉密信息系統(tǒng)分等級實施保護，各級保密工作部門根據(jù)涉密信息系統(tǒng)的保護等級實施監(jiān)督管理，確保系統(tǒng)和信息安全。

二、等級保護和分級保護的目前現(xiàn)狀

1、等級保護：目前正在實行的是等級保護2.0版本（GB/T 22239一2019），是公安部第三研究所（公安部信息安全等級保護評估中心）牽頭編寫并落實主管工作，用來替代等級保護1.0版本（GB/T 22239-2008），該標準在2019年5月10日發(fā)布，具體實施日期是2019年12月1日，也是全行業(yè)目前都要去滿足的標準。

2、分級保護：目前在用的是BMB17《涉及國家秘密的信息系統(tǒng)分級保護技術要求》規(guī)范，是由國家保密局牽頭編寫并發(fā)布。屬于強制執(zhí)行。

三、等級保護和分級保護的等級劃分

1、等級保護分為五個級別，從低到高依次為：

第一級（自主保護級）：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級（指導保護級）：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級（監(jiān)督保護級）：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級（強制保護級）：等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級（?？乇Ｗo級）：等級保護對象受到破壞后，會對國家安全造成特別嚴重損害。

實施流程：等級保護工作包括系統(tǒng)定級、系統(tǒng)備案、安全建設整改、等級測評和監(jiān)督檢查五個環(huán)節(jié)。其中，等級測評是評估信息系統(tǒng)是否滿足相應等級的安全保護要求的重要手段。

2、分級保護分為三個級別，從低到高依次為：秘密級、機密級、絕密級

實施流程：分級保護工作包括系統(tǒng)定級、方案設計、工程實施、系統(tǒng)測評、系統(tǒng)審批、日常管理、測評與檢查、系統(tǒng)廢止八個環(huán)節(jié)。其中，系統(tǒng)測評是評估涉密信息系統(tǒng)是否滿足相應等級的安全保護要求的關鍵步驟。

四、等級保護與分級保護的區(qū)別

1、保護對象不同：等級保護的保護對象是非涉密的信息系統(tǒng)，而分級保護的保護對象是涉密的信息系統(tǒng)。

2、發(fā)起部門和主管部門不同：等級保護由公安部門發(fā)起并主管，而分級保護由國家保密局發(fā)起并主管。

3、測評頻率不同：

（1）等級保護第二級信息系統(tǒng)應每兩年至少進行一次等級測評；

第三級信息系統(tǒng)應每年至少進行一次等級測評；

第四級信息系統(tǒng)：應每半年至少進行一次等級測評；

第一級信息系統(tǒng)不需要測評；

第五級信息系統(tǒng)一般適用于國家重要領域、重要部門中的極端重要系統(tǒng)，特殊行業(yè)特殊要求，不在等保測評機構(gòu)的測評范疇。

（2）分級保護的秘密級、機密級信息系統(tǒng)：應每兩年至少進行一次安全保密測評或保密檢查；

絕密級信息系統(tǒng)：應每年至少進行一次安全保密測評或保密檢查。

等級保護和分級保護都是國家信息安全保障的重要措施，它們共同構(gòu)成了國家信息安全防護的體系。雖然保護對象和主管部門不同，但兩者在保障信息系統(tǒng)安全方面的目標是一致的，都是為了提高信息系統(tǒng)的安全防護能力，降低安全風險。同時，兩者在實施過程中也可以相互借鑒和補充，共同提升國家信息安全保障水平。