一、密评与等保测评的定义

密评是指在采用商用密码技术、产品和服务集成建设的网络安全信息系统中，对其密码应用的合规性、正确性、有效性等进行评估。

等保测评是指对信息和信息载体按照重要性等级分级别进行检测、评估、监督和指导的过程。

二、密评与等保测评的区别

1.评估侧重点与目标

密评通过对目标系统技术和管理两方面测评。发现在实际应用中，弃用、乱用、误用密码技术导致存在的安全问题。使密码技术得到合规、正确、有效应用，发挥安全支撑能力，解决应用系统的安全问题。

等保测评通过对目标系统在安全技术及安全管理两方面的测评，对目标系统的安全技术状态及安全管理状况做出初步判断，找出目标系统与相应安全等级要求之间的差距，并结合系统特性进行整体测评和风险分析，最终给出被测系统在安全保护能力方面的评价，并作为进一步完善网络安全防护体系及系统安全策略的依据。

2.评估内容不同

密评的内容包括技术要求：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；管理要求：管理制度、人员管理、建设运行、应急处置。

等保测评的内容则涵盖了安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共十个层面。

3.评估流程不同

密评流程包括编制密码应用方案（改造方案）、方案评估、建设整改、系统评估、备案等。

等保测评流程包括对信息系统进行定级、备案、建设整改、检测评估、监督检查等。

三、密评和等保测评的流程

密评流程

密码应用与安全性评估贯穿于应用系统的规划、建设和运行阶段。

1.规划阶段：责任单位编制密码应用方案；委托密评机构开展方案评估；将评估通过的密码应用方案和密评机构出具的《密码应用方案评估报告》报送至密码管理部门。

2.建设阶段：责任单位按照通过评估的《密码应用方案》进行相应建设，委托密评机构开展系统评估。责任单位将通过评估的《密码应用安全性评估报告》报送至密码管理部门。

3.运行阶段：包括定期开展密评，系统发生密码重大安全事件、重大调整或者特殊情况及时组织评估。

等保测评流程

等保测评的五个主要流程包括：

1.定级：确定信息系统的保护等级，是整个等保工作的起点。信息系统安全等级由系统运用、使用单位依据《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》自主确定，由主管部门的需经主管部门审批。对于拟确定为二级及以上信息系统，还应经专家评审会评审。

2.备案：运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核，对符合要求的颁发等级保护备案证明。

3.建设整改：运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。对于未达到安全等级保护要求的，运营、使用单位应当进行整改，整改完成应当将整改报告报公安机关备案。

4.等级测评：运营、使用单位或者主管部门应当选择合规测评机构，定期对信息系统安全等级状况开展等级测评。三级及以上信息系统至少每年进行一次等级测评，四级及以上信息系统至少每半年进行一次等级测评，五级应当依据特殊安全需求进行等级测评。测评机构应当出具测评报告，并出具测评结果通知书，明示信息系统安全等级及测评结果。

5.监督检查：公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。受理备案的公安机关会对三级、四级信息系统进行检查，检查频次同测评频次。五级信息系统接受国家制定的专门部门检查。

四、做等保测评和密评的必要性

等保测评的必要性

1.相关责任主体的法定责任：根据《中华人民共和国网络安全法》第十条：建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

2.发现风险和漏洞：通过等保测评，企业可以全面评估其信息系统的安全状况，发现潜在的安全隐患和漏洞，从而为企业制定针对性的安全防护策略提供重要依据。

3.合规遵法：等保测评是国家信息安全保障的基本制度、基本策略和基本方法，旨在确保信息系统的安全防护水平与其承载的信息的重要性和敏感性相匹配。通过等保测评，企业可以满足法律法规要求，避免法律风险。

4.提升安全意识和素质：等保测评不仅帮助企业发现和整改安全隐患，还能提升企业的安全意识和安全素质，塑造良好的安全文化。

密评的必要性

1.相关责任主体的法定责任：根据《中华人民共和国密码法》第二十七条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

2.确保密码应用安全：密评的目的是确保关键信息基础设施在使用商用密码进行保护时，能够达到合规、正确和有效的要求，从而切实保障国家网络和信息安全。

3.规范密码使用和管理：通过密评可以及时发现在密码应用过程中存在的问题，为网络和信息安全提供科学的评价方法，逐步规范密码的使用和管理，从根本上改变密码应用不广泛、不规范、不安全的现状。

五、不做等保测评和密评的后果

1.法律责任

《中华人民共和国网络安全法》第五十九条：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

《中华人民共和国密码法》第三十七条：关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款：对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

2.安全风险增加

不进行测评可能导致网络系统存在未知的安全隐患，增加遭受网络攻击、数据泄露等安全事件的风险。这些安全事件不仅会给企业带来直接的经济损失，还可能导致企业失去客户、泄露商业机密，甚至引发法律纠纷，使企业陷入困境。

3.业务影响

一旦发生安全事件，可能会导致业务中断、数据丢失或损坏，对企业的正常运营造成严重影响。在某些行业，如金融、医疗等，相关监管部门要求企业必须达到一定的信息安全等级标准才能开展业务。如果企业未能通过测评，可能无法获得业务许可或续期，从而错失商业机会，阻碍企业的扩张和发展。

4.合规审计问题

在进行合规审计或安全评估时，缺乏测评记录可能会被视为不符合规范，影响企业的合规性评价。