等级|网络安全：等保和密评及关基之间的关系( 二 ) 测评|保护法|检测|关基|评估

3) 评估内容
等级测评、关基安全检测评估、密评的主要参考标准和评估内容如下：

文章图片

关基安全检测评估包括了等级测评、密评的所有测评内容，密评中的部分评估内容来自等级保护基本要求中关于密码相关的要求项。
4) 评估流程
等级保护工作包括五个规定动作：定级、备案、建设整改、等级测评、监督检查；关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节；商用密码应用安全评估的工作流程大致包括确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段。
关基安全检测评估通过合规检查、技术检测和分析评估完成，具体评估流程为：评估工作准备（调研、方案制定）、工作实施、工作总结（风险研判、报告编制、结果反馈）；密评和等级测评包括测评准备、方案编制、现场测评、测评结论分析、测评报告编制。
三者的评估流程基本类似，整个工作开展综合流程可归纳为：

文章图片

5) 评估结论
网络安全等级保护评估结论为优、良、中、差，密评的测评结论有符合、部分符合、不符合；等级测评和密评都引入了风险分析，依据资产、威胁、脆弱性进行赋值，并计算风险值进行判定，风险结论有高、中、低；关键信息基础设施保护基于风险评估的方法，重在分析安全风险可能引起的安全事件及总体安全状况。当网络和信息系统存在高风险时，等级测评和密评的结论均为不符合（差）。
等级保护是关键信息基础设施保护的基础，关键信息基础设施是等级保护的重点防护对象。关键信息基础设施必须落实网络安全等级保护制度，开展定级备案、等级测评、安全建设整改、安全检查等强制性及规定性工作；商用密码应用安全是保障网络和信息系统安全的一项防护措施，也是保障关键基础设施安全的重要手段，关键基础设施必须按照密评相关标准、规定，开展密评工作；此外，对于使用了商用密码的网络和信息系统也必须按照密评相关标准、规定，开展密评工作。由于网络安全等级保护基本要求第三级以上网络和信息系统和国家政务信息系统必须基于密码技术保障其安全性，故针对此类系统必须开展密评工作。
等级保护是支撑国家网络安全的基本制度、开展关键信息基础设施保护和商用密码应用安全评估的基础，若无法将等级保护制度落实到位，则很难实现关键信息基础设施保护到位，商用密码应用安全评估工作也无法顺利进行。
【等级|网络安全：等保和密评及关基之间的关系】等级保护制度、关键信息基础设施保护、商用密码应用安全评估都是网络安全运营者应履行的责任和义务，并非哪一个重要，哪一个不重要，只是安全防护力度、角度存在一定差异。