网络安全等级测评和商用密码应用安全性评估是一回事吗？

Posted 2022-06-18 行云管家

最近不少小伙伴再问，网络安全等级测评和商用密码应用安全性评估是一回事吗？两者有什么关系？又有什么不同呢？今天我们就来一起聊聊。

首先，两者不是一回事情，定义不同。

1、网络安全等级测评是测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。

2、商用密码应用安全性评估是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。其中的商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。

其次，两者有一定的关联性。

1、对象一致性：等级测评与商用密码应用安全性评估的测评对象都是已定级的信息系统。

2、过程一致性：等级测评与商用密码应用安全性评估都分为四个阶段，包括测评准备、方案编制、现场测评、分析与报告编制。

4、测评方法一致性：在测评方法上两者都是通过访谈相关工作人员、安全测试、查看文档等方式对系统进行测评。并且两者在身份鉴别、数据传输和存储等一些测评内容方面有所交集。

第三、两者又有一定的差异性。

1、测评指标：等级测评依据，商用密码安全性评估依据，两者的测评指标要求不同，具有差异性。

2、测评报告：等级测评与商用密码应用安全性评估的分值计算依据不同的公式，且分数合格线不同，等级测评70分达到合格线，商用密码应用安全性评估60分达到合格线。等级测评结论分为优、良、中、差，密码应用安全性评估的测评结论则分为符合、基本符合、不符合等。

最后，告诉大家，因等级测评与商用密码应用安全性评估的目标对象、过程和方法的整体一致性为两项测评活动的融合奠定了良好的技术基础，只要在相关环节中解决好指标和报告引起的活动差异，如通过合并指标进行统一调研，就可以实现“一次入场，完成两项测评”。但必须注意的是，等级测评与商用密码应用安全性评估的结合是以合规为前提、提升效率为目标，在测评过程中要始终明确两者的主旨，在提高效率的同时应兼顾测评的质量。随着测评现场情况的不断变化，以及不断出现的新的应用场景，两者结合的方法仍需不断的完善，为更好的完成等级测评与商用密码应用安全性评估工作打下基础。