關(guān)于“等保”與“密評(píng)”在法律、標(biāo)準(zhǔn)、流程以及測(cè)評(píng)實(shí)施等方面的具體差異與內(nèi)在聯(lián)系，一直是客戶領(lǐng)導(dǎo)關(guān)注的焦點(diǎn)。他們希望了解這兩項(xiàng)制度在維護(hù)網(wǎng)絡(luò)安全方面各自的作用與互補(bǔ)性，以確保信息系統(tǒng)的政策合規(guī)性，并在網(wǎng)絡(luò)安全上得到全面、高效的保障。

“等保”即網(wǎng)絡(luò)安全等級(jí)保護(hù)，旨在通過不同安全等級(jí)的管理和技術(shù)措施，確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。我國(guó)于2017年頒布的《網(wǎng)絡(luò)安全法》中第二十一條規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。法律要求網(wǎng)絡(luò)運(yùn)營(yíng)者需按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，履行制定安全管理制度、采取防范技術(shù)措施、監(jiān)測(cè)記錄網(wǎng)絡(luò)狀態(tài)、保護(hù)數(shù)據(jù)安全等多項(xiàng)義務(wù)，確保網(wǎng)絡(luò)安全穩(wěn)定。

現(xiàn)行的網(wǎng)絡(luò)安全等級(jí)保護(hù)要求簡(jiǎn)稱為“等保2.0",相較于等保1.0主要體現(xiàn)在技術(shù)防護(hù)體系的擴(kuò)展和安全管理要求的強(qiáng)化，以及對(duì)新技術(shù)應(yīng)用安全的覆蓋，更加全面和深入地保障了網(wǎng)絡(luò)安全。

”密評(píng)“即商用密碼應(yīng)用安全性評(píng)估，是對(duì)網(wǎng)絡(luò)信息系統(tǒng)中所使用的商用密碼產(chǎn)品和應(yīng)用進(jìn)行的安全性評(píng)估。《密碼法》于2020年開始實(shí)施，其中第二十七條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者需依法使用商用密碼進(jìn)行保護(hù)，并自行或委托專業(yè)機(jī)構(gòu)開展安全性評(píng)估，確保與其他安全檢測(cè)評(píng)估制度相銜接，避免重復(fù)工作。

”等保“和”密評(píng)“共同構(gòu)成了我國(guó)網(wǎng)絡(luò)安全防御體系的重要組成部分，兩者相互補(bǔ)充，強(qiáng)化了網(wǎng)絡(luò)空間的整體防御能力，有力地支撐了國(guó)家信息化建設(shè)的安全穩(wěn)定。”等保“側(cè)重于對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行整體的安全管理與技術(shù)防護(hù)，以確保網(wǎng)絡(luò)信息系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等方面達(dá)到相應(yīng)的標(biāo)準(zhǔn)和要求。

”密評(píng)“則聚焦于使用了商用密碼的產(chǎn)品、系統(tǒng)和服務(wù)，對(duì)其密碼算法選擇、密碼協(xié)議設(shè)計(jì)、密鑰管理以及密碼模塊的安全性等方面進(jìn)行全面而深入的合規(guī)性、正確性和有效性評(píng)估。

以下內(nèi)容將從國(guó)家相應(yīng)的法律法規(guī)、測(cè)評(píng)標(biāo)準(zhǔn)、測(cè)評(píng)流程以及測(cè)評(píng)實(shí)施等方面對(duì)”等保“和”密評(píng)“的具體差異與內(nèi)在聯(lián)系進(jìn)行簡(jiǎn)單的探討。 

01.國(guó)家法律法規(guī)角度對(duì)比

《網(wǎng)絡(luò)安全法》下的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)全面關(guān)注國(guó)家、公共、關(guān)鍵信息基礎(chǔ)設(shè)施及個(gè)人信息安全，涵蓋物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全等多個(gè)維度。該測(cè)評(píng)重點(diǎn)關(guān)注網(wǎng)絡(luò)與信息安全、系統(tǒng)管理、數(shù)據(jù)安全、訪問控制、惡意代碼防范及網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)等方面，通過設(shè)定不同等級(jí)的安全保護(hù)要求，旨在確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)和數(shù)據(jù)的安全，有效預(yù)防網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。

相對(duì)而言，《密碼法》下的商用密碼應(yīng)用安全性評(píng)估則聚焦于規(guī)范商用密碼的應(yīng)用和管理，深入評(píng)估密碼算法、協(xié)議、應(yīng)用設(shè)計(jì)、密鑰管理、密碼設(shè)備及模塊的安全性與合規(guī)性。其主要目的是保護(hù)使用密碼技術(shù)進(jìn)行數(shù)據(jù)加密、身份認(rèn)證、通信安全等涉及國(guó)家安全、商業(yè)秘密和個(gè)人隱私的信息系統(tǒng)。通過專業(yè)的密碼學(xué)方法和工具，確保關(guān)鍵領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的密碼應(yīng)用安全無(wú)虞。

兩者在目的、保護(hù)對(duì)象和關(guān)注重點(diǎn)上雖各有側(cè)重，但均是我國(guó)網(wǎng)絡(luò)安全和密碼應(yīng)用安全法律保障體系的重要組成部分，共同維護(hù)著國(guó)家網(wǎng)絡(luò)安全和信息安全的大局。

02.標(biāo)準(zhǔn)層面的對(duì)比

我國(guó)為了規(guī)范和指導(dǎo)等級(jí)保護(hù)（等保）和商用密碼應(yīng)用安全評(píng)估（密評(píng)）的相關(guān)工作，近年來陸續(xù)制定和頒布了一系列相關(guān)的國(guó)家標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)旨在規(guī)范等級(jí)保護(hù)（等保）和商用密碼應(yīng)用安全評(píng)估（密評(píng)）的各個(gè)環(huán)節(jié)。這些標(biāo)準(zhǔn)涵蓋了“基本要求、實(shí)施（設(shè)計(jì)）指南以及測(cè)評(píng)要求”等關(guān)鍵內(nèi)容，確保各類組織機(jī)構(gòu)能夠按照統(tǒng)一且嚴(yán)格的標(biāo)準(zhǔn)構(gòu)建和維護(hù)安全的信息系統(tǒng)環(huán)境。

基本要求

§ 

實(shí)施/設(shè)計(jì)指南

§ 

測(cè)評(píng)要求

§ 

03.測(cè)評(píng)流程的比較

等保測(cè)評(píng)和商用密碼應(yīng)用安全評(píng)估在流程上有一定的相似性，但側(cè)重點(diǎn)不同。等保測(cè)評(píng)更側(cè)重于信息系統(tǒng)的整體安全性能評(píng)估，而商用密碼應(yīng)用安全評(píng)估則專注于商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性和有效性的評(píng)估。

04.”等保“和”密評(píng)“同步實(shí)施

“雙評(píng)合規(guī)”這一概念，即同步進(jìn)行“等保測(cè)評(píng)”與“密評(píng)”（商用密碼應(yīng)用安全評(píng)估），亦稱作“一次入場(chǎng)，同步雙審”。這一舉措旨在同一時(shí)間段內(nèi)高效整合并實(shí)施等保測(cè)評(píng)和商用密碼應(yīng)用安全評(píng)估兩項(xiàng)安全合規(guī)工作。

“等保測(cè)評(píng)”與“密評(píng)”存在諸多方面的共性，通過恰當(dāng)?shù)姆椒▋?yōu)化整合測(cè)評(píng)指標(biāo)與流程，完全有可能實(shí)現(xiàn)兩項(xiàng)測(cè)評(píng)的同時(shí)進(jìn)行，既節(jié)約了時(shí)間和成本，又確保了評(píng)估的協(xié)調(diào)性和準(zhǔn)確性。

"雙評(píng)"工作流程，即等級(jí)保護(hù)測(cè)評(píng)和商用密碼應(yīng)用安全評(píng)估的同步實(shí)施，涵蓋了準(zhǔn)備階段、方案編制階段、現(xiàn)場(chǎng)測(cè)評(píng)階段以及分析報(bào)告階段。各階段的具體工作內(nèi)容如下：

通過合理的規(guī)劃與實(shí)施，可以實(shí)現(xiàn)“一次入場(chǎng)，同步雙評(píng)”的目標(biāo)，“同步雙評(píng)”機(jī)制的優(yōu)勢(shì)在于顯著提升了企業(yè)評(píng)估效率，確保企業(yè)能夠在接受整體網(wǎng)絡(luò)安全考核時(shí)，無(wú)需分階段或重復(fù)投入資源通過合并評(píng)估流程大幅度降低了時(shí)間和經(jīng)濟(jì)成本，同時(shí)也強(qiáng)化了等保與密評(píng)之間的保障網(wǎng)絡(luò)安全協(xié)同性和評(píng)估結(jié)果的一致性。

來源 | 軍哥系統(tǒng)集成號(hào)