什么是密評和等保測評？必須要做嗎？

隨著云計算、大數據、人工智能、工業互聯網，5G，大數據等新一代信息技術發展，國家對網絡安全越來越重視，網絡安全法治建設正在扶持推進，《網絡安全法》、《密碼法》等多部法律已頒布實施，網絡空間不再是“法外之地”。那什么是密評和等保測評？有必要做嗎？

一、什么是密評和等保測評？

商用密碼應用安全性評估(簡稱“密評”)是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性進行評估的活動。密評是對密碼應用安全的評估，立足系統安全、體系安全和動態安全，對包括密碼算法、密碼協議和密碼設備等進行整體安全性評估。

商用密碼用于保護不屬于國家秘密的信息。

“等保測評”全稱是信息安全等級保護測評。是經公安部認證的具有資質的等保測評機構，依據國家信息安全等級保護規范規定，受有關單位委托，按照有關管理規范和技術標準，對信息系統安全等級保護狀況進行檢測評估的活動。

等保和密評，它們的全稱分別是網絡安全等級保護測評、商用密碼應用安全性評估，這倆者的關系之間緊密相連。

它們的關系主要指涵蓋范圍不同。網絡安全等級保護測評（等級測評）是測評機構依據國家網絡安全等級保護管理制度規定，按照有關管理規范和技術標準對涉及國家機密的信息系統安全保護狀況進行分等級測試評估的活動。它的測評對象能基本覆蓋全部的網絡和信息系統。

密評和等保測評評估對象：

密評和等保測評評估流程：

商用密碼應用安全評估的工作流程大致包括確定評估對象、開展測評工作、輸出密碼測評報告、密評結果上報四個階段；

等級保護工作包括五個規定動作：定級、備案、建設整改、等級測評、監督檢查；關鍵信息基礎設施網絡安全保護包括識別認定、安全防護、檢測評估、監測預警、事件處置五個環節。

二、必須要做密評和等保測評嗎？

密評：

1、首先是國家法律規定的要去，《密碼法》、《網絡安全法》、《網絡安全等級保護條例》等法律強調了額等級保護三級及以上信息系統、關鍵信息基礎設施都要做密評。

2、密評是為了保護系統安全，通過密評檢測系統安全級別，提升信息系統安全性。

等保測評：

等級保護測評不一定需要做，但是一些企業的重要系統在定級為等保三級時，是可以確定是需要做的，目前定級為等保二級，很多企業根據主管部門的建議也需要做。因此，是否需要做等級保護測評需要結合網絡安全等級保護備案結果以及主管部門的要求來確定。