政策背景

2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式施行。《网络安全法》中明确规定，我国实行网络安全等级保护制度，网络安全等级保护制度自此成为我国网络安全工作的基本制度和基本方法。

2018年6月27日，公安部发布了《网络安全等级保护条例（征求意见稿）》（以下简称《等保条例》）。《等保条例》由公安部会同中央网信办、国家保密局和国家密码管理局，依据《网络安全法》、《中华人民共和国保守国家秘密法》（以下简称《保密法》）等法律联合起草。作为《网络安全法》的重要配套行政法规，《等保条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求，为开展等级保护工作提供了重要的法律支撑。

按照工作惯例和职责，《等保条例》第四章“涉密网络的安全保护”由国家保密局负责起草，第五章“密码管理”由国家密码管理局负责起草，其余内容由公安部起草。

等级保护和分级保护

网络安全等级保护和涉密网络分级保护是两个既有联系，又有区别的概念。涉密网络分级保护是国家网络安全等级保护制度的重要组成部分，是网络安全等级保护工作在涉密领域的具体体现。

《等保条例》第一章中规定公安部主管网络安全等级保护工作，负责网络安全等级保护工作的监督管理，依法组织开展网络安全保卫；国家保密局主管涉密网络分级保护工作，负责网络安全等级保护工作中有关保密工作的监督管理。

《等保条例》第三章中规定了网络安全等级保护制度的基本框架、内容、要求和相关主体的责任义务；第四章中提出了涉密网络安全保密总体要求和分级保护管理要求，明确了涉密网络全过程管理。

等级保护、分级保护作为我国网络安全领域的两大合规性体系，在多个层面均存在显著差异。由于分级保护有关标准政策涉密，本文希望以《等保条例》，尤其以第三、四章为基础，以其他公开资料如《网络安全法》、《保密法》等为辅，对等分保的一些差异进行对比分析。

管理过程对比

1. 网络等级

等保（第15条）：根据重要程度及遭到破坏后的危害程度等因素，网络分为五个安全保护等级，具体如下表所示。可以看到，涉及公民、法人和其他组织合法权益的最高到第三级，涉及社会公共利益的最高到第四级，而涉及国家安全的第三级起步。

分保（第35条）：涉密网络按照存储、处理、传输国家秘密的最高密级，由低到高，分为秘密级、机密级和绝密级。依照《保密法》中国家秘密的定义：“是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项”，涉密信息不仅关系国家安全，而且涉及国家利益，其重要程度不言而喻。所以，秘密级、机密级和绝密级网络的保护水平总体上不低于等保第三级、第四级和第五级的水平。

2. 定级备案

等保（第16、17、18、19条）：应在规划设计阶段确定网络的安全保护等级，针对拟定第二级以上的网络，一般的定级备案流程为：确定定级对象->初步确认定级对象等级->专家评审->行业主管部门核准->公安机关备案审核。

分保（第36条）：确定网络密级->本单位保密委员会/保密工作领导小组审定->同级保密局备案。相对来说，涉密网络的定级备案流程比较简单，最重要的环节在于确定国家秘密和网络的密级，应“依照法定程序确定”，可参见《保密法》相关内容。

3. 安全建设

等保（第20、21条）：网络运营者应当依法履行11项一般安全保护义务，包括建立并落实责任制度，安全管理和技术保护制度，制定操作规范和工作流程，落实网络安全、数据安全、个人信息保护等相关的技术和措施。第三级以上网络的运营者，还应当履行其他8项特殊安全保护义务，如强化网络安全管理机构的职责，网络安全管理负责人和关键岗位的人员安全背景审查，采取网络安全态势感知和监测预警措施进行动态监测分析，定期开展等级测评等网络安全保护义务，突出强化了国家对关键信息基础设施和其他重要网络的保护和管理。

分保（第37、38、41条）：依据分级保护相关标准，如技术要求、管理规范和方案设计指南等，制定分级保护方案并审查论证；选择具有相应涉密信息系统集成资质的单位；依据国家保密规定和标准要求，制定安全保密管理制度，组建相应管理机构，设置安全保密管理人员，落实安全保密责任；采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转管控、电磁泄漏发射防护、病毒防护、密码保护和保密监管等技术与管理措施。

4. 上线检测/测评审查

等保（第22条）：新建的第二级网络上线前应按照网络安全等级保护有关标准规范进行安全检测；第三级以上网络应进行等级测评，测评通过后方可投入运行。

分保（第40条）：新建涉密网络都须经过测评（国家保密局设立或者授权的保密测评机构）、审批（地市以上保密局）才能正式投入运行。

5. 等级测评/风险评估

等保（第23条）：第三级以上网络应每年开展一次网络安全等级测评。

分保（第40条）：涉密网络投入运行后，应接受保密局组织的安全保密风险评估，秘密级、机密级每两年至少一次，绝密级每年至少一次。

6. 自查工作/保密检查和风险自评估

等保（第25条）：所有网络每年至少开展一次自查，发现安全风险隐患及时整改，并向备案的公安机关报告。

分保（第40条）：应定期开展安全保密检查（保密检查计划）和风险自评估（一年至少一次）。

7. 网络废止

分保（第44条）：涉密网络如不再使用，应及时向保密局报告，并按照国家保密规定和标准对涉密信息设备、产品、涉密载体等进行处理。

其他要求对比

1、产品服务采购使用的安全要求/信息设备、安全保密产品管理

等保（第28条）：第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务；对重要部位使用的网络产品，应当委托专业测评机构进行专项测试，根据测试结果选择符合要求的网络产品；采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

分保（第39条）：涉密网络中使用的信息设备，应当从国家有关主管部门发布的涉密专用信息设备名录中选择；未纳入名录的，应选择政府采购目录中的产品。确需选用进口产品的，应当进行安全保密检测。

安全保密产品应通过国家保密科技测评中心检测。计算机病毒防护产品应选用取得计算机信息系统安全专用产品销售许可证的可靠产品，密码产品应当选用国家密码管理局批准的产品。

2、监测预警和信息通报/涉密网络预警通报要求

等保（第30条）：第三级以上网络运营者应建立健全网络安全监测预警和信息通报制度，按照规定向同级公安机关和行业主管部门（如有）报送网络安全监测预警信息，报告网络安全事件。

分保（第42条）：涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度，发现安全风险隐患的，应及时采取应急处置措施，并向保密局报告。

3、网络重大变化的处置

等保（第16条）：当网络功能、服务范围、服务对象和处理的数据等发生重大变化时，应依法变更网络的安全保护等级。

分保（第43条）：涉密网络发生重大变化时，应按照国家保密规定及时向保密局报告并采取相应措施，保密局应当及时作出是否对涉密网络重新进行检测评估和审查的决定。

4、关于密码管理

国家密码管理局负责网络安全等级保护工作中有关密码管理工作的监督管理。

等保（第47条）：对非密网络，第三级以上网络运营者应在网络规划、建设和运行阶段委托专业测评机构开展密码应用安全性评估。

分保（第46条）：对涉密网络，明确密码检测、装备、采购、使用以及系统设计、运行维护和日常管理等要求。

5、关于测评机构（第53条）

等保：非密网络安全等级测评机构具体管理办法由公安部制定。

分保：保密科技测评机构管理办法由国家保密局制定。由于保密科技测评的业务敏感性，此项职能并未对社会资本开放。

6、关于特殊行业网络（第40条）

公安机关、国家安全机关的涉密网络应按照分级保护相关标准进行保护，但有其特殊性。“军事网络的安全保护，由中央军事委员另行规定”（《网络安全法》）。

7、关于非密网络的保密工作（第57条）

国家保密局负责对涉密网络的安全保护工作进行监督管理，并且负责对非密网络的失泄密行为的监管。

小结

等级保护、分级保护都是系统级的网络安全规范体系，十余年来，在全国范围的合规性网络安全保护项目建设中均有非常广泛的应用，其各个环节均有多个政策、文件、标准、规范的支撑和约束。限于篇幅，本文未将其中差异点逐一列举，仅做了部分宏观上的对比，抛砖引玉，希望引发从业者和关注者的进一步思考。

公安部关于《网络安全等级保护条例（征求意见稿）》公开征求意见的公告链接：http://www.mps.gov.cn/n2254536/n4904355/c6159136/content.html