一、密評與等保測評的定義

密評是指在采用商用密碼技術、產品和服務集成建設的網(wǎng)絡安全信息系統(tǒng)中，對其密碼應用的合規(guī)性、正確性、有效性等進行評估。

等保測評是指對信息和信息載體按照重要性等級分級別進行檢測、評估、監(jiān)督和指導的過程。

二、密評與等保測評的區(qū)別

1.評估側重點與目標

密評通過對目標系統(tǒng)技術和管理兩方面測評。發(fā)現(xiàn)在實際應用中，棄用、亂用、誤用密碼技術導致存在的安全問題。使密碼技術得到合規(guī)、正確、有效應用，發(fā)揮安全支撐能力，解決應用系統(tǒng)的安全問題。

等保測評通過對目標系統(tǒng)在安全技術及安全管理兩方面的測評，對目標系統(tǒng)的安全技術狀態(tài)及安全管理狀況做出初步判斷，找出目標系統(tǒng)與相應安全等級要求之間的差距，并結合系統(tǒng)特性進行整體測評和風險分析，最終給出被測系統(tǒng)在安全保護能力方面的評價，并作為進一步完善網(wǎng)絡安全防護體系及系統(tǒng)安全策略的依據(jù)。

2.評估內容不同

密評的內容包括技術要求：物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全；管理要求：管理制度、人員管理、建設運行、應急處置。

等保測評的內容則涵蓋了安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理共十個層面。

3.評估流程不同

密評流程包括編制密碼應用方案（改造方案）、方案評估、建設整改、系統(tǒng)評估、備案等。

等保測評流程包括對信息系統(tǒng)進行定級、備案、建設整改、檢測評估、監(jiān)督檢查等。

三、密評和等保測評的流程

密評流程

密碼應用與安全性評估貫穿于應用系統(tǒng)的規(guī)劃、建設和運行階段。

1.規(guī)劃階段：責任單位編制密碼應用方案；委托密評機構開展方案評估；將評估通過的密碼應用方案和密評機構出具的《密碼應用方案評估報告》報送至密碼管理部門。

2.建設階段：責任單位按照通過評估的《密碼應用方案》進行相應建設，委托密評機構開展系統(tǒng)評估。責任單位將通過評估的《密碼應用安全性評估報告》報送至密碼管理部門。

3.運行階段：包括定期開展密評，系統(tǒng)發(fā)生密碼重大安全事件、重大調整或者特殊情況及時組織評估。

等保測評流程

等保測評的五個主要流程包括：

1.定級：確定信息系統(tǒng)的保護等級，是整個等保工作的起點。信息系統(tǒng)安全等級由系統(tǒng)運用、使用單位依據(jù)《GBT 22240-2020 信息安全技術 網(wǎng)絡安全等級保護定級指南》自主確定，由主管部門的需經主管部門審批。對于擬確定為二級及以上信息系統(tǒng)，還應經專家評審會評審。

2.備案：運營、使用單位在確定等級后到所在地的市級及以上公安機關備案。新建二級及以上信息系統(tǒng)在投入運營后30日內、已運行的二級及以上信息系統(tǒng)在等級確定30日內備案。公安機關對信息系統(tǒng)備案情況進行審核，對符合要求的頒發(fā)等級保護備案證明。

3.建設整改：運營使用單位按照管理規(guī)范和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實安全管理制度。對于未達到安全等級保護要求的，運營、使用單位應當進行整改，整改完成應當將整改報告報公安機關備案。

4.等級測評：運營、使用單位或者主管部門應當選擇合規(guī)測評機構，定期對信息系統(tǒng)安全等級狀況開展等級測評。三級及以上信息系統(tǒng)至少每年進行一次等級測評，四級及以上信息系統(tǒng)至少每半年進行一次等級測評，五級應當依據(jù)特殊安全需求進行等級測評。測評機構應當出具測評報告，并出具測評結果通知書，明示信息系統(tǒng)安全等級及測評結果。

5.監(jiān)督檢查：公安機關依據(jù)信息安全等級保護管理規(guī)范，監(jiān)督檢查運營使用單位開展等級保護工作，定期對信息系統(tǒng)進行安全檢查。運營使用單位應當接受公安機關的安全監(jiān)督、檢查、指導，如實向公安機關提供有關材料。受理備案的公安機關會對三級、四級信息系統(tǒng)進行檢查，檢查頻次同測評頻次。五級信息系統(tǒng)接受國家制定的專門部門檢查。

四、做等保測評和密評的必要性

等保測評的必要性

1.相關責任主體的法定責任：根據(jù)《中華人民共和國網(wǎng)絡安全法》第十條：建設、運營網(wǎng)絡或者通過網(wǎng)絡提供服務，應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網(wǎng)絡安全、穩(wěn)定運行，有效應對網(wǎng)絡安全事件，防范網(wǎng)絡違法犯罪活動，維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。

第二十一條：國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。

2.發(fā)現(xiàn)風險和漏洞：通過等保測評，企業(yè)可以全面評估其信息系統(tǒng)的安全狀況，發(fā)現(xiàn)潛在的安全隱患和漏洞，從而為企業(yè)制定針對性的安全防護策略提供重要依據(jù)。

3.合規(guī)遵法：等保測評是國家信息安全保障的基本制度、基本策略和基本方法，旨在確保信息系統(tǒng)的安全防護水平與其承載的信息的重要性和敏感性相匹配。通過等保測評，企業(yè)可以滿足法律法規(guī)要求，避免法律風險。

4.提升安全意識和素質：等保測評不僅幫助企業(yè)發(fā)現(xiàn)和整改安全隱患，還能提升企業(yè)的安全意識和安全素質，塑造良好的安全文化。

密評的必要性

1.相關責任主體的法定責任：根據(jù)《中華人民共和國密碼法》第二十七條：法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網(wǎng)絡安全等級測評制度相銜接，避免重復評估、測評。

2.確保密碼應用安全：密評的目的是確保關鍵信息基礎設施在使用商用密碼進行保護時，能夠達到合規(guī)、正確和有效的要求，從而切實保障國家網(wǎng)絡和信息安全。

3.規(guī)范密碼使用和管理：通過密評可以及時發(fā)現(xiàn)在密碼應用過程中存在的問題，為網(wǎng)絡和信息安全提供科學的評價方法，逐步規(guī)范密碼的使用和管理，從根本上改變密碼應用不廣泛、不規(guī)范、不安全的現(xiàn)狀。

五、不做等保測評和密評的后果

1.法律責任

《中華人民共和國網(wǎng)絡安全法》第五十九條：網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

《中華人民共和國密碼法》第三十七條：關鍵信息基礎設施的運營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家政務信息化項目建設管理辦法》第二十八條第三款：對于不符合密碼應用和網(wǎng)絡安全要求，或者存在重大安全隱患的政務信息系統(tǒng)，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統(tǒng)。

2.安全風險增加

不進行測評可能導致網(wǎng)絡系統(tǒng)存在未知的安全隱患，增加遭受網(wǎng)絡攻擊、數(shù)據(jù)泄露等安全事件的風險。這些安全事件不僅會給企業(yè)帶來直接的經濟損失，還可能導致企業(yè)失去客戶、泄露商業(yè)機密，甚至引發(fā)法律糾紛，使企業(yè)陷入困境。

3.業(yè)務影響

一旦發(fā)生安全事件，可能會導致業(yè)務中斷、數(shù)據(jù)丟失或損壞，對企業(yè)的正常運營造成嚴重影響。在某些行業(yè)，如金融、醫(yī)療等，相關監(jiān)管部門要求企業(yè)必須達到一定的信息安全等級標準才能開展業(yè)務。如果企業(yè)未能通過測評，可能無法獲得業(yè)務許可或續(xù)期，從而錯失商業(yè)機會，阻礙企業(yè)的擴張和發(fā)展。

4.合規(guī)審計問題

在進行合規(guī)審計或安全評估時，缺乏測評記錄可能會被視為不符合規(guī)范，影響企業(yè)的合規(guī)性評價。