等級保護全稱是信息安全等級保護,2003年由中辦、國辦轉發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》提出實行信息安全等級保護、建立國家信息安全保障體系的明確要求,公安部又頒布了《信息安全等級保護管理辦法》。在2009年,公安部聯合國家保密局、國家密碼管理局、國務院信息化工作辦公室發(fā)布《關于組織開展2009年度本市重要信息系統(tǒng)等級保護工作的通知》,可見國家層面對信息安全是非常重視了,不斷加強健全信息安全方面的法律法規(guī),加強信息安全方面的管理。等級保護按照破壞性、影響力分為五級:一級(自主保護)、二級(指導保護)、三級(監(jiān)督保護)、四級(強制保護)、五級(專控保護)。其中,一二級一般不影響國家安全,但三級及以上就有可能對國家安全造成損害。等級保護的對象是涉及國計民生的重要信息系統(tǒng)和通信基礎信息系統(tǒng),自然包括那些中大型數據中心,而不論它是否涉密。公安機關是等級保護工作的主管部門,負責信息安全等級保護工作的監(jiān)督、檢查、指導。我們打開一個正規(guī)的網站,在網站的下方都會有“X公網安備XXXX號”的字樣,證明此網站經過了公關機關的審核,已經頒發(fā)了等級保護備案證明,大家可以放心使用和訪問,對于那些沒有經過公關機關備案的,多半是釣魚網站或黑網站,不要訪問和使用這類網站。國家保密工作部門、國家密碼管理部門負責等級保護工作中有關保密工作和密碼工作的監(jiān)督、檢查、指導,國信辦及地方信息化領導小組辦事機構負責等級保護工作部門間的協(xié)調,涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由國家保密工作部門負責。
分級保護是中央保密委員會于2004年12月下發(fā)的《關于加強信息安全保障工作中保密管理若干一件》明確提出要建立健全涉密信息系統(tǒng)分級保護制度,2005年12月國家保密局下發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》,同時,《保密法》修訂草案也增加了網絡安全保密管理的條款。分級保護分為秘密級、機密級和機密級(增強)、絕密級三個等級。三個等級對應等級保護的三四五級。分級保護由國家保密局來管理,推廣帶有強制性。分級保護定級是依據信息的重要性,以信息最高密級確定受保護的級別。涉密數據中心建設使用單位將涉密信息定級和建設使用情況,上報業(yè)務主管部門和保密工作機構和負責數據中心審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查和指導。定級要素是數據中心內處理的最高密級的數據。簡單地講,如果數據中心存在機密級和秘密級文件,那么數據中心為機密級。另外,還有一個規(guī)定是,如果機密級數據中心中處理的數據涉及軍工,國防等領域,需要按機密增強進行防護。由保密局檢查監(jiān)督。
從以上介紹中不難發(fā)現,等級保護和分級保護具有明顯不同。主管單位不同、等級定義也不同、依據標準不同等等。大部分的數據中心都要經過等級保護,而只有很少的數據中心需要分級保護審核備案。等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發(fā)展的主線和中心任務, 提出了總體要求。對數據中心實行等級保護是國家法定制度和基本國策,是開展信息安全保護工作的有效辦法,是信息安全保護工作的發(fā)展方向。而分級保護則是國家信息安全等級保護在涉及國家秘密信息的數據中心中特殊保護措施與方法。由于國家秘密信息與公開信息在內容和特性上有著明顯的區(qū)別,所以涉密的數據中心和公眾信息的數據中心在保障安全的原則、系統(tǒng)和方法等方面也有不同的要求。既不能用維護國家秘密信息安全的辦法去維護國家公眾信息安全,以至于影響信息的合理利用,阻礙信息化的發(fā)展;也不能用維護公眾信息安全的辦法來維護國家的秘密信息安全,以至于竊密、泄密事件的發(fā)生,危害國家的安全和利益,同樣影響信息化的健康發(fā)展。說到底,還是兩種保護標準的出發(fā)點不同,面向的對象也不同,數據中心要根據自己處理信息的安全去考慮做等級保護還是分級保護的審核和備案,公安機關和保密局也會根據數據中心的實際情況考慮做哪種信息安全的保護備案。