1.二级系统与三级系统的界定
《信息系统安全等级保护定级指南》中规定：
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

2.二级系统与三级系统要求的防护能力差别
第二级系统应达到的安全保护能力：

应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段事件内恢复部分功能。

第三级系统应达到的安全保护能力：
应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

3.二级系统与三级系统的强制测评周期区别
《信息安全等级保护管理办法》中第十四条规定：
信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。
二级系统不强制要求测评，但是要求定期找测评机构测评或进行系统自测。

4.二级系统与三级系统定级出现偏差的风险分析
正因为以上二级系统和三级系统在定级要素、系统防护能力要求、系统测评的周期及力度、测评指标的诸多不同，导致了系统定级的准确性尤为重要。定级偏高（二级系统误定级为三级），则测评要求的安全防护等级就会提高，测评将按照高级别的要求，导致测评周期缩短，可能引起测评和整改费用增加，但是系统的安全性也得到了很大的提高。定级偏低（三级系统误定级为二级），测评将按照低等级的要求来进行，系统的安全性不能得到充分检测，存在的安全漏洞不能及时的发现，为系统留下重大安全隐患。