“等保”即网络安全等级保护,旨在通过不同安全等级的管理和技术措施,确保信息系统的安全稳定运行。我国于2017年颁布的《网络安全法》中第二十一条规定“国家实行网络安全等级保护制度”。法律要求网络运营者需按照网络安全等级保护制度要求,履行制定安全管理制度、采取防范技术措施、监测记录网络状态、保护数据安全等多项义务,确保网络安全稳定。
“密评”即商用密码应用安全性评估,是对网络信息系统中所使用的商用密码产品和应用进行的安全性评估。《密码法》于2020年开始实施,其中第二十七条要求关键信息基础设施的运营者需依法使用商用密码进行保护,并自行或委托专业机构开展安全性评估,确保与其他安全检测评估制度相衔接,避免重复工作。
“等保”和“密评”共同构成了我国网络安全防御体系的重要组成部分,两者相互补充,强化了网络空间的整体防御能力,有力地支撑了国家信息化建设的安全稳定。“等保”侧重于对网络信息系统进行整体的安全管理与技术防护,以确保网络信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到相应的标准和要求。
“密评”则聚焦于使用了商用密码的产品、系统和服务,对其密码算法选择、密码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、正确性和有效性评估。
以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面对“等保”和“密评”的具体差异与内在联系进行简单的探讨。
01 国家法律法规角度对比
《网络安全法》下的网络安全等级保护测评全面关注国家、公共、关键信息基础设施及个人信息安全,涵盖物理、网络、主机、应用和数据安全等多个维度。该测评重点关注网络与信息安全、系统管理、数据安全、访问控制、恶意代码防范及网络安全事件应急响应等方面,通过设定不同等级的安全保护要求,旨在确保网络基础设施、信息系统和数据的安全,有效预防网络攻击和数据泄露。
相对而言,《密码法》下的商用密码应用安全性评估则聚焦于规范商用密码的应用和管理,深入评估密码算法、协议、应用设计、密钥管理、密码设备及模块的安全性与合规性。其主要目的是保护使用密码技术进行数据加密、身份认证、通信安全等涉及国家安全、商业秘密和个人隐私的信息系统。通过专业的密码学方法和工具,确保关键领域网络和信息系统的密码应用安全无虞。
02 标准层面的对比
-
基本要求
-
实施/设计指南
-
测评要求
03 测评流程的比较
等保测评和商用密码应用安全评估在流程上有一定的相似性,但侧重点不同。等保测评更侧重于信息系统的整体安全性能评估,而商用密码应用安全评估则专注于商用密码技术、产品和服务的合规性、正确性和有效性的评估。
04 “等保”和“密评”同步实施
“双评合规”这一概念,即同步进行“等保测评”与“密评”(商用密码应用安全评估),亦称作“一次入场,同步双审”。这一举措旨在同一时间段内高效整合并实施等保测评和商用密码应用安全评估两项安全合规工作。
“等保测评”与“密评”存在诸多方面的共性,通过恰当的方法优化整合测评指标与流程,完全有可能实现两项测评的同时进行,既节约了时间和成本,又确保了评估的协调性和准确性。
"双评"工作流程,即等级保护测评和商用密码应用安全评估的同步实施,涵盖了准备阶段、方案编制阶段、现场测评阶段以及分析报告阶段。各阶段的具体工作内容如下:
通过合理的规划与实施,可以实现“一次入场,同步双评”的目标,“同步双评”机制的优势在于显著提升了企业评估效率,确保企业能够在接受整体网络安全考核时,无需分阶段或重复投入资源通过合并评估流程大幅度降低了时间和经济成本,同时也强化了等保与密评之间的保障网络安全协同性和评估结果的一致性。