一、密評與等保測評的定義

密評是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)安全信息系統(tǒng)中，對其密碼應(yīng)用的合規(guī)性、正確性、有效性等進(jìn)行評估。

等保測評是指對信息和信息載體按照重要性等級分級別進(jìn)行檢測、評估、監(jiān)督和指導(dǎo)的過程。

二、密評與等保測評的區(qū)別

1.評估側(cè)重點(diǎn)與目標(biāo)

密評通過對目標(biāo)系統(tǒng)技術(shù)和管理兩方面測評。發(fā)現(xiàn)在實(shí)際應(yīng)用中，棄用、亂用、誤用密碼技術(shù)導(dǎo)致存在的安全問題。使密碼技術(shù)得到合規(guī)、正確、有效應(yīng)用，發(fā)揮安全支撐能力，解決應(yīng)用系統(tǒng)的安全問題。

等保測評通過對目標(biāo)系統(tǒng)在安全技術(shù)及安全管理兩方面的測評，對目標(biāo)系統(tǒng)的安全技術(shù)狀態(tài)及安全管理狀況做出初步判斷，找出目標(biāo)系統(tǒng)與相應(yīng)安全等級要求之間的差距，并結(jié)合系統(tǒng)特性進(jìn)行整體測評和風(fēng)險分析，最終給出被測系統(tǒng)在安全保護(hù)能力方面的評價，并作為進(jìn)一步完善網(wǎng)絡(luò)安全防護(hù)體系及系統(tǒng)安全策略的依據(jù)。

2.評估內(nèi)容不同

密評的內(nèi)容包括技術(shù)要求：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全；管理要求：管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置。

等保測評的內(nèi)容則涵蓋了安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理共十個層面。

3.評估流程不同

密評流程包括編制密碼應(yīng)用方案（改造方案）、方案評估、建設(shè)整改、系統(tǒng)評估、備案等。

等保測評流程包括對信息系統(tǒng)進(jìn)行定級、備案、建設(shè)整改、檢測評估、監(jiān)督檢查等。

三、密評和等保測評的流程

密評流程

密碼應(yīng)用與安全性評估貫穿于應(yīng)用系統(tǒng)的規(guī)劃、建設(shè)和運(yùn)行階段。

1.規(guī)劃階段：責(zé)任單位編制密碼應(yīng)用方案；委托密評機(jī)構(gòu)開展方案評估；將評估通過的密碼應(yīng)用方案和密評機(jī)構(gòu)出具的《密碼應(yīng)用方案評估報告》報送至密碼管理部門。

2.建設(shè)階段：責(zé)任單位按照通過評估的《密碼應(yīng)用方案》進(jìn)行相應(yīng)建設(shè)，委托密評機(jī)構(gòu)開展系統(tǒng)評估。責(zé)任單位將通過評估的《密碼應(yīng)用安全性評估報告》報送至密碼管理部門。

3.運(yùn)行階段：包括定期開展密評，系統(tǒng)發(fā)生密碼重大安全事件、重大調(diào)整或者特殊情況及時組織評估。

等保測評流程

等保測評的五個主要流程包括：

1.定級：確定信息系統(tǒng)的保護(hù)等級，是整個等保工作的起點(diǎn)。信息系統(tǒng)安全等級由系統(tǒng)運(yùn)用、使用單位依據(jù)《GBT 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》自主確定，由主管部門的需經(jīng)主管部門審批。對于擬確定為二級及以上信息系統(tǒng)，還應(yīng)經(jīng)專家評審會評審。

2.備案：運(yùn)營、使用單位在確定等級后到所在地的市級及以上公安機(jī)關(guān)備案。新建二級及以上信息系統(tǒng)在投入運(yùn)營后30日內(nèi)、已運(yùn)行的二級及以上信息系統(tǒng)在等級確定30日內(nèi)備案。公安機(jī)關(guān)對信息系統(tǒng)備案情況進(jìn)行審核，對符合要求的頒發(fā)等級保護(hù)備案證明。

3.建設(shè)整改：運(yùn)營使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，選擇管理辦法要求的信息安全產(chǎn)品，建設(shè)符合等級要求的信息安全設(shè)施，建立安全組織，制定并落實(shí)安全管理制度。對于未達(dá)到安全等級保護(hù)要求的，運(yùn)營、使用單位應(yīng)當(dāng)進(jìn)行整改，整改完成應(yīng)當(dāng)將整改報告報公安機(jī)關(guān)備案。

4.等級測評：運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)選擇合規(guī)測評機(jī)構(gòu)，定期對信息系統(tǒng)安全等級狀況開展等級測評。三級及以上信息系統(tǒng)至少每年進(jìn)行一次等級測評，四級及以上信息系統(tǒng)至少每半年進(jìn)行一次等級測評，五級應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。測評機(jī)構(gòu)應(yīng)當(dāng)出具測評報告，并出具測評結(jié)果通知書，明示信息系統(tǒng)安全等級及測評結(jié)果。

5.監(jiān)督檢查：公安機(jī)關(guān)依據(jù)信息安全等級保護(hù)管理規(guī)范，監(jiān)督檢查運(yùn)營使用單位開展等級保護(hù)工作，定期對信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。受理備案的公安機(jī)關(guān)會對三級、四級信息系統(tǒng)進(jìn)行檢查，檢查頻次同測評頻次。五級信息系統(tǒng)接受國家制定的專門部門檢查。

四、做等保測評和密評的必要性

等保測評的必要性

1.相關(guān)責(zé)任主體的法定責(zé)任：根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第十條：建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

第二十一條：國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

2.發(fā)現(xiàn)風(fēng)險和漏洞：通過等保測評，企業(yè)可以全面評估其信息系統(tǒng)的安全狀況，發(fā)現(xiàn)潛在的安全隱患和漏洞，從而為企業(yè)制定針對性的安全防護(hù)策略提供重要依據(jù)。

3.合規(guī)遵法：等保測評是國家信息安全保障的基本制度、基本策略和基本方法，旨在確保信息系統(tǒng)的安全防護(hù)水平與其承載的信息的重要性和敏感性相匹配。通過等保測評，企業(yè)可以滿足法律法規(guī)要求，避免法律風(fēng)險。

4.提升安全意識和素質(zhì)：等保測評不僅幫助企業(yè)發(fā)現(xiàn)和整改安全隱患，還能提升企業(yè)的安全意識和安全素質(zhì)，塑造良好的安全文化。

密評的必要性

1.相關(guān)責(zé)任主體的法定責(zé)任：根據(jù)《中華人民共和國密碼法》第二十七條：法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復(fù)評估、測評。

2.確保密碼應(yīng)用安全：密評的目的是確保關(guān)鍵信息基礎(chǔ)設(shè)施在使用商用密碼進(jìn)行保護(hù)時，能夠達(dá)到合規(guī)、正確和有效的要求，從而切實(shí)保障國家網(wǎng)絡(luò)和信息安全。

3.規(guī)范密碼使用和管理：通過密評可以及時發(fā)現(xiàn)在密碼應(yīng)用過程中存在的問題，為網(wǎng)絡(luò)和信息安全提供科學(xué)的評價方法，逐步規(guī)范密碼的使用和管理，從根本上改變密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀。

五、不做等保測評和密評的后果

1.法律責(zé)任

《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條：網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

《中華人民共和國密碼法》第三十七條：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

《國家政務(wù)信息化項目建設(shè)管理辦法》第二十八條第三款：對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。

2.安全風(fēng)險增加

不進(jìn)行測評可能導(dǎo)致網(wǎng)絡(luò)系統(tǒng)存在未知的安全隱患，增加遭受網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件的風(fēng)險。這些安全事件不僅會給企業(yè)帶來直接的經(jīng)濟(jì)損失，還可能導(dǎo)致企業(yè)失去客戶、泄露商業(yè)機(jī)密，甚至引發(fā)法律糾紛，使企業(yè)陷入困境。

3.業(yè)務(wù)影響

一旦發(fā)生安全事件，可能會導(dǎo)致業(yè)務(wù)中斷、數(shù)據(jù)丟失或損壞，對企業(yè)的正常運(yùn)營造成嚴(yán)重影響。在某些行業(yè)，如金融、醫(yī)療等，相關(guān)監(jiān)管部門要求企業(yè)必須達(dá)到一定的信息安全等級標(biāo)準(zhǔn)才能開展業(yè)務(wù)。如果企業(yè)未能通過測評，可能無法獲得業(yè)務(wù)許可或續(xù)期，從而錯失商業(yè)機(jī)會，阻礙企業(yè)的擴(kuò)張和發(fā)展。

4.合規(guī)審計問題

在進(jìn)行合規(guī)審計或安全評估時，缺乏測評記錄可能會被視為不符合規(guī)范，影響企業(yè)的合規(guī)性評價。