【规范】等保测评密评对照

微信扫码，打开到小程序

等保测评密评对照 关于“等保”与“密评”在法律、标准、流程以及测评实施等方面的具体差异与内在 联系，一直是客户领导关注的焦点。他们希望了解这两项制度在维护网络安全 方面各自的作用与互补性，以确保信息系统的政策合规性，并在网络安全上得 到全面、高效的保障。 “等保”即网络安全等级保护，旨在通过不同安全等级的管理和技术措施，确保 信息系统的安全稳定运行。我国于 2017 年颁布的《网络安全法》中第二十一 条规定“国家实行网络安全等级保护制度”。法律要求网络运营者需按照网络安全 等级保护制度要求，履行制定安全管理制度、采取防范技术措施、监测记录网 络状态、保护数据安全等多项义务，确保网络安全稳定。 现行的网络安全等级保护要求简称为“等保 2.0",相较于等保 1.0 主要体现在技术 防护体系的扩展和安全管理要求的强化，以及对新技术应用安全的覆盖，更加 全面和深入地保障了网络安全。 ”密评“即商用密码应用安全性评估，是对网络信息系统中所使用的商用密码产 品和应用进行的安全性评估。《密码法》于 2020 年开始实施，其中第二十七 条要求关键信息基础设施的运营者需依法使用商用密码进行保护，并自行或委 托专业机构开展安全性评估，确保与其他安全检测评估制度相衔接，避免重复 工作。 ”等保“和”密评“共同构成了我国网络安全防御体系的重要组成部分，两者相互补 充，强化了网络空间的整体防御能力，有力地支撑了国家信息化建设的安全稳 定。”等保“侧重于对网络信息系统进行整体的安全管理与技术防护，以确保网络 信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到 相应的标准和要求。 ”密评“则聚焦于使用了商用密码的产品、系统和服务，对其密码算法选择、密 码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、 正确性和有效性评估。 以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面 对”等保“和”密评“的具体差异与内在联系进行简单的探讨。 01.国家法律法规角度对比 《网络安全法》下的网络安全等级保护测评全面关注国家、公共、关键信息基 础设施及个人信息安全，涵盖物理、网络、主机、应用和数据安全等多个维度。 该测评重点关注网络与信息安全、系统管理、数据安全、访问控制、恶意代码 防范及网络安全事件应急响应等方面，通过设定不同等级的安全保护要求，旨 在确保网络基础设施、信息系统和数据的安全，有效预防网络攻击和数据泄露。 相对而言，《密码法》下的商用密码应用安全性评估则聚焦于规范商用密码的 应用和管理，深入评估密码算法、协议、应用设计、密钥管理、密码设备及模 块的安全性与合规性。其主要目的是保护使用密码技术进行数据加密、身份认 证、通信安全等涉及国家安全、商业秘密和个人隐私的信息系统。通过专业的 密码学方法和工具，确保关键领域网络和信息系统的密码应用安全无虞。 两者在目的、保护对象和关注重点上虽各有侧重，但均是我国网络安全和密码 应用安全法律保障体系的重要组成部分，共同维护着国家网络安全和信息安全 的大局。 网络安全等级保护测评 商用密码应用安全性评估 法律法规 《网络安全法》、《关键信 息基础设施安全保护条例》 等 《密码法》、《商⽤密码 管理条例》等 目的 确保网络基础设施、信息系 统及数据的安全性，防止网 络攻击和数据泄露 规范商用密码的应用和管 理，确保关键领域网络和 信息系统的密码应用安全 保护对象 各类信息系统、网络基础设 施、数据和个人信息 商用密码的应用，特别是 关键领域网络和信息系统 的密码应用 关注重点 整体安全设计、安全管理、 密码算法安全性、密钥管 物理环境、网络通信、身份 认证、访问控制等系统全面 安全 理、密码设备安全性能、 密码应用系统架构安全设 计等密码技术的具体应用 和实现 评估手段 包括文档审查、现场评估、技术检测、资料审核、人员 访谈、模拟演练等措施 测评内容 安全管理制度、安全防范措 施、应急处置能力，物理安 全、网络安全、应用安全主 机安全、应用安全、数据安 全及备份恢复等多个层面的 综合评估 密码算法安全性、密码协 议安全性、密码应用设计 安全性、密钥管理安全 性、密码设备及密码模块 安全性等方面的评估 目标效果 构建安全、可靠、稳定的网 络环境，促进信息化发展， 保障国家安全 提升密码安全保障能力， 确保关键领域密码应用安 全，维护网络空间安全 违法责任 不按规定开展工作的将面临警告、罚款、吊销许可等处 罚；造成严重后果者依法追究刑事责任 02.标准层面的对比 我国为了规范和指导等级保护（等保）和商用密码应用安全评估（密评）的相 关工作，近年来陆续制定和颁布了一系列相关的国家标准。这些标准旨在规范 等级保护（等保）和商用密码应用安全评估（密评）的各个环节。这些标准涵 盖了“基本要求、实施（设计）指南以及测评要求”等关键内容，确保各类组织机 构能够按照统一且严格的标准构建和维护安全的信息系统环境。 网络安全等级保护测评 商用密码应用安全评估 基本要求 《信息安全技术—网络安全 等级保护基本要求》（GB/T 22239-2019） 《信息安全技术 信息系统密 码应用基本要求》（ GB/T 39786-2021） 实施/设计指 南 《信息安全技术—网络安全 等级保护实施指南》（GB/T 25058-2019） 《信息安全技术 信息系统密 码 应 用 设 计 指 南 》 （ GBT 43207-2023） 测评要求 《信息安全技术—网络安全 等级保护测评要求》（GB/T 28448-2019） 《信息安全技术 信息系统密 码应用测评要求》（ GB/T 43206-2023）  基本要求 标准 《信息安全技术—网络安全等级保护 基本要求》（GB/T 22239-2019） 《信息安全技术 信息 系 统 密 码 应 用 基 本 要 求 》 （ GB/T 39786- 2021） 定级 系统分为五个等级：一级至五级，主 要根据信息系统的业务重要性、信息 价值和受破坏后的潜在影响来划分 密码应用要求通常按照 GB/T 22239-2019 要 求，跟随网络安全等级 保护级别设定，即针对 不同等级的信息系统提 出 相 应 的 密 码 应 用 要 求，不独立进行定级。 安 全 技 术要求 安全通用要求包括：安全物理环境、 安全通信网络、安全区域边界、安全 计算环境以及安全管理中心等；扩展 安全要求包括：云计算、移动互联 网、物联网及工业控制系统等； 通用测评要求包括：密 码算法、密码技术、密 码产品、 密码服务、 密钥管理等，技术测评 包 括 ： 物 理 和 环 境 安 全、网络和通信安全、 设备和计算安全、 应用 和数据安全 安 全 管 理要求 包括：安全管理制度、安全管理机 构、安全管理人员、安全建设管理、 安全运维管理 包括：管理制度、人员 管理、建设运行、应急 处置  实施/设计指南 《信息安全技术—网络安全等级保 护 实 施 指 南 》 （ GB/T 25058- 2019） 《信息安全技术 信息系统密 码 应 用 设 计 指 南 》 （ GBT 43207-2023） 标 准 目 的 提供一个系统的框架和指导原则， 以帮助组织和机构对信息系统实施 有效的安全保护措施。 确保信息系统在设计和实施 过程中能够有效地利用密码 技术来加强安全防护，同时 满足合规性和业务需求。 适 用 范 围 适用于各种类型的信息系统并指导 网络安全等级保护工作的实施 适用于指导信息系统密码应 用方案的设计。可作为信息 系统密码保障建设、密码应 用安全性评估和密码管理部 门安全性评估备案工作的参 考。 内 容 侧 重点 为信息系统提供从定级备案、总体 安全规划、安全设计与实施、技术 措施的实现、安全运行与维护、定 级终止供了详细的指导，以帮助组 织建立和维护一个符合等级保护要 为信息系统密码应用提供全 面的设计指导，确保密码应 用方案的系统性、安全性和 有效性。 求的网络安全环境 实 施 流 程 包括定级备案、安全规划、设计与 实施、技术措施实现、运行维护以 及定级终止六个关键阶段。 涵盖了三个核心流程：密码 应用需求分析、密码应用设 计分析以及安全与合规性分 析，并详细描计算平台、密 码支撑平台和业务应用平台 的密码应用技术框架 关 键 任 务 与 活 动 安全等级确定、安全规划设计实 施、安全运维及测评、定级终止 包括需求、应用、合规分析 以及计算、支撑、应用等密 码技术框架设计  测评要求 网 络 安 全 等 级 保 护 测 评 要 求 （GB/T 28448-2019） 信息系统密码应用测评要求 （GB/T 43206-2023） 目的 验证信息系统是否符合相应等级的 安全保护要求。 评估信息系统中密码应用的 安全性和合规性。 适 用 范 围 适用于所有需要执行网络安全等级 保护测评的信息系统。 涉及密码技术的所有信息系 统，特别是商用密码产品和 服务 测 评 对 系统各个层面的安全防护措施（物 密码使用环节的算法、技 象 理、边界、网络、计算环境、建 设、管理、运维等） 术、产品、服务、密钥，使 用的环境、网络、计算以及 应用和数据，密码的管理等 测 评 方 法 文档审查、配置核查、功能测试、 渗透测试等综合评价 密码技术检测与验证，包括 密钥生命周期检查、算法安 全性分析等 合 规 要 求 符合《网络安全法》、等级保护基 本要求等相关法律法规和技术标准 遵守《密码法》、《商用密 码管理条例》及相关国家密 码行业标准 测 评 结 论 结论指出系统是否达到等级保护要 求并提出整改建议 明确系统密码应用是否符合 安全要求，并给出改进意见 03.测评流程的比较 等保测评和商用密码应用安全评估在流程上有一定的相似性，但侧重点不同。 等保测评更侧重于信息系统的整体安全性能评估，而商用密码应用安全评估则 专注于商用密码技术、产品和服务的合规性、正确性和有效性的评估。 等保测评 商用密码应用安全评估 测评准 备 测评工作启动，系统信息收集和 分析、相关测评工具和表单准备 收集被测系统的相关资料信 息。掌握被测系统密码使用的 详细情况 方案编 制 测评对象及指标的确定，测评内 容、工具测试方案确定，测评指 导书及测评方案编制 正确合理确定测评对象、测评 边界和测评指标、根据技术标 准和规范编、制测评方案和测 评结果记录表格。 现场测 评 测评准备、测评及记录、确认记 录、归还资料 遵循测评方案，使用指定工具 执行操作，记录结果，收集证 据以评估系统密码安全，并确 保测评活动得到适当监督和记 录。 报告编 制 根据测评结果，形成正式的测评 报告。报告中包括测评结果判 定、安全保障评估、风险分析、 测评结论等 评估信息系统密码安全现状与 标准要求的差异，识别潜在风 险，得出结论，并依据国家密 码管理部门统一的报告模板编 写。报告包含完整测评结果和 专业分析的判断。 04.”等保“和”密评“同步实施 “双评合规”这一概念，即同步进行“等保测评”与“密评”（商用密码应用安全评 估），亦称作“一次入场，同步双审”。这一举措旨在同一时间段内高效整合并实 施等保测评和商用密码应用安全评估两项安全合规工作。 “等保测评”与“密评”存在诸多方面的共性，通过恰当的方法优化整合测评指标与 流程，完全有可能实现两项测评的同时进行，既节约了时间和成本，又确保了 评估的协调性和准确性。 双评一致性 等级测评 商用密码应用安全性评估 对 象 一 致 性 已定级的信息系统 过 程 一 致 性 测评准备、方案编制、现场测评、分析与报告编制 测 评 方 法 一 致 性 访谈、安全测试、查看文档等 测 评 内 容 身份鉴别、数据传输和存储等 交集 双评差异性 测 评 内容 等级测评 商用密码应用安全性评估 测 评 指标 依据《GB/T 22239—2019 信 息安全技术 网络安全等级保护 基本要求》 GB/T 43206-2023《信息安全技 术 信息系统密码应用测评要求》 指标要求与等级保护标准对应 指标要求与密码应用标准对应 涉及物理安全、网络安全、应 用安全、数据安全等方面 侧重于密码技术、密码管理、密 码应用等方面 测 评 报告 分值计算依据不同公式 分值计算依据不同公式 70 分达到合格线 60 分达到合格线 结论分为优、良、中、差 结论分为符合、基本符合、不符 合等 "双评"工作流程，即等级保护测评和商用密码应用安全评估的同步实施，涵盖 了准备阶段、方案编制阶段、现场测评阶段以及分析报告阶段。各阶段的具体 工作内容如下： 工作阶段 双评工作内容 1.准备阶段 调研表融合：通过整合资产调研表，增加密码产 品与服务的相关内容，确保被测评单位能够一次 性完成资产梳理与统计。 工作计划确认：与被测评单位明确入场时间和对 接人员，确保两项测评工作的高效协同。 2.方案编制阶段 标准依据区分：尽管两者在过程上相似，但由于 依据的标准不同（等级测评依据《GB/T22239 一 2019 》 ， 商 用 密 码 评 估 依 据 《 GB/T43206- 2023》），需要分别制定测评方案。 指标选取：针对两项标准的具体要求，分别确定 并选取测评指标。 3.现场测评阶段 内容与方法交集利用：利用两者在测评内容和方 法上的交集，如身份鉴别、数据传输和存储等， 进行联合测评，提高现场测评效率。 验证测试分工：由于目的不同，等级测评侧重于 漏洞和安全风险发现，而商用密码评估关注密码 技术的有效性，因此建议两者分别组织专业团队 进行测试 4.分析与报告编制阶段 分析方法采用：两者都采用单元测评和整体测评 的分析方法，但在量化评估和高风险判定上有所 不同，因此需分别进行。 报告编制：基于各自的分析结果，分别完成等级 测评和商用密码应用安全性评估的报告编制。 通过合理的规划与实施，可以实现“一次入场，同步双评”的目标，“同步双评”机 制的优势在于显著提升了企业评估效率，确保企业能够在接受整体网络安全考 核时，无需分阶段或重复投入资源通过合并评估流程大幅度降低了时间和经济 成本，同时也强化了等保与密评之间的保障网络安全协同性和评估结果的一致 性。