“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化，網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪”。隨著5G、大數(shù)據(jù)、云計(jì)算、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新一代信息技術(shù)的發(fā)展，網(wǎng)絡(luò)空間與物理空間被徹底打通，網(wǎng)絡(luò)空間成為繼“陸?？仗臁敝蟮牡谖宕髴?zhàn)略空間，愈演愈烈的網(wǎng)絡(luò)攻擊已經(jīng)成為國家安全的新挑戰(zhàn)。為保障網(wǎng)絡(luò)空間安全，我國網(wǎng)絡(luò)安全法治建設(shè)持續(xù)推進(jìn)，《網(wǎng)絡(luò)安全法》、《密碼法》等多部法律已頒布實(shí)施，《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》加速制定中，網(wǎng)絡(luò)空間不再是“法外之地”。

　　在《網(wǎng)絡(luò)安全法》中明確規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，落實(shí)網(wǎng)絡(luò)安全責(zé)任制，依據(jù)相關(guān)規(guī)定開展等級(jí)保護(hù)工作，通過等級(jí)測(cè)評(píng)來檢驗(yàn)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力，識(shí)別系統(tǒng)可能存在的安全風(fēng)險(xiǎn)；同時(shí)《網(wǎng)絡(luò)安全法》中規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者通過安全檢測(cè)評(píng)估的方式識(shí)別可能存在的風(fēng)險(xiǎn)；在《密碼法》中規(guī)定使用商用密碼進(jìn)行保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)履行開展商用密碼應(yīng)用安全評(píng)估的工作，同時(shí)指出商用密碼應(yīng)用安全評(píng)估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估與網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)進(jìn)行銜接，避免重復(fù)評(píng)估、測(cè)評(píng)。

　　商用密碼應(yīng)用安全評(píng)估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估與網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)三者間該如何銜接，三者間又存在什么樣的聯(lián)系與區(qū)別呢？本文對(duì)其進(jìn)行簡(jiǎn)要分析。

　　基本概念

　　網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)：（簡(jiǎn)稱“等級(jí)測(cè)評(píng)”）是測(cè)評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)，是信息系統(tǒng)安全等級(jí)保護(hù)工作的重要環(huán)節(jié)。

　　關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估：（簡(jiǎn)稱“關(guān)基安全檢測(cè)評(píng)估”）對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全性和可能存在的風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估的活動(dòng)。檢測(cè)評(píng)估內(nèi)容包括但不限于網(wǎng)絡(luò)安全制度（國家和行業(yè)相關(guān)法律法規(guī)政策文件及運(yùn)營者制定的制度）落實(shí)情況、組織機(jī)構(gòu)建設(shè)情況、人員和經(jīng)費(fèi)投入情況、教育培訓(xùn)情況、網(wǎng)絡(luò)安全等級(jí)保護(hù)工作落實(shí)情況、密碼應(yīng)用安全性評(píng)估情況、技術(shù)防護(hù)情況、云服務(wù)安全評(píng)估情況、風(fēng)險(xiǎn)評(píng)估情況、應(yīng)急演練情況、攻防演練情況等，尤其關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施跨系統(tǒng)、跨區(qū)域間的信息流動(dòng)，及其關(guān)鍵業(yè)務(wù)流動(dòng)過程中所經(jīng)資產(chǎn)的安全防護(hù)情況。

　　商用密碼應(yīng)用安全評(píng)估：（簡(jiǎn)稱“密評(píng)”）是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估。

　　聯(lián)系與區(qū)別

　　1） 評(píng)估對(duì)象

　　等級(jí)測(cè)評(píng)、關(guān)基安全檢測(cè)評(píng)估、密評(píng)三者間詳細(xì)的評(píng)估對(duì)象如下：

　　三者評(píng)估對(duì)象間的關(guān)系如下如：

　　等級(jí)保護(hù)對(duì)象基本覆蓋了全部的網(wǎng)絡(luò)和信息系統(tǒng)，第三級(jí)以上的網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象同時(shí)為關(guān)基和密評(píng)的評(píng)估對(duì)象；關(guān)鍵基礎(chǔ)設(shè)施一定是等級(jí)測(cè)評(píng)和密評(píng)的評(píng)估的對(duì)象；密評(píng)對(duì)象含關(guān)鍵基礎(chǔ)設(shè)施、第三級(jí)等級(jí)保護(hù)對(duì)象和部分重要的信息系統(tǒng)。

　　2） 評(píng)估周期

　　等級(jí)測(cè)評(píng)、關(guān)基安全檢測(cè)評(píng)估、密評(píng)在實(shí)際開展過程中應(yīng)銜接進(jìn)行，第三級(jí)以上的等級(jí)保護(hù)對(duì)象、關(guān)鍵基礎(chǔ)設(shè)施、商用密碼應(yīng)用安全的評(píng)估周期均為每年至少一次。針對(duì)被識(shí)別為關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)，為避免重復(fù)測(cè)評(píng)，可先確定等級(jí)保護(hù)對(duì)象，確定安全級(jí)別、進(jìn)行關(guān)鍵基礎(chǔ)設(shè)施識(shí)別/安全防護(hù)、開展密碼應(yīng)用方案/等級(jí)保護(hù)建設(shè)方案評(píng)估、開展等級(jí)測(cè)評(píng)及密評(píng)工作以及進(jìn)行關(guān)鍵基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估。

　　3） 評(píng)估內(nèi)容

　　等級(jí)測(cè)評(píng)、關(guān)基安全檢測(cè)評(píng)估、密評(píng)的主要參考標(biāo)準(zhǔn)和評(píng)估內(nèi)容如下：

　　關(guān)基安全檢測(cè)評(píng)估包括了等級(jí)測(cè)評(píng)、密評(píng)的所有測(cè)評(píng)內(nèi)容，密評(píng)中的部分評(píng)估內(nèi)容來自等級(jí)保護(hù)基本要求中關(guān)于密碼相關(guān)的要求項(xiàng)。

　　4） 評(píng)估流程

　　等級(jí)保護(hù)工作包括五個(gè)規(guī)定動(dòng)作：定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查；關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)包括識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、事件處置五個(gè)環(huán)節(jié)；商用密碼應(yīng)用安全評(píng)估的工作流程大致包括確定評(píng)估對(duì)象、開展測(cè)評(píng)工作、輸出密碼測(cè)評(píng)報(bào)告、密評(píng)結(jié)果上報(bào)四個(gè)階段。

　　關(guān)基安全檢測(cè)評(píng)估通過合規(guī)檢查、技術(shù)檢測(cè)和分析評(píng)估完成，具體評(píng)估流程為：評(píng)估工作準(zhǔn)備（調(diào)研、方案制定）、工作實(shí)施、工作總結(jié)（風(fēng)險(xiǎn)研判、報(bào)告編制、結(jié)果反饋）；密評(píng)和等級(jí)測(cè)評(píng)包括測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、測(cè)評(píng)結(jié)論分析、測(cè)評(píng)報(bào)告編制。

　　三者的評(píng)估流程基本類似，整個(gè)工作開展綜合流程可歸納為：

　　5） 評(píng)估結(jié)論

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)估結(jié)論為優(yōu)、良、中、差，密評(píng)的測(cè)評(píng)結(jié)論有符合、不符合；等級(jí)測(cè)評(píng)和密評(píng)都引入了風(fēng)險(xiǎn)分析，依據(jù)資產(chǎn)、威脅、脆弱性進(jìn)行賦值，并計(jì)算風(fēng)險(xiǎn)值進(jìn)行判定，風(fēng)險(xiǎn)結(jié)論有高、中、低；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)基于風(fēng)險(xiǎn)評(píng)估的方法，重在分析安全風(fēng)險(xiǎn)可能引起的安全事件及總體安全狀況。當(dāng)網(wǎng)絡(luò)和信息系統(tǒng)存在高風(fēng)險(xiǎn)時(shí)，等級(jí)測(cè)評(píng)和密評(píng)的結(jié)論均為不符合（差）。

　　等級(jí)保護(hù)是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)，關(guān)鍵信息基礎(chǔ)設(shè)施是等級(jí)保護(hù)的重點(diǎn)防護(hù)對(duì)象。關(guān)鍵信息基礎(chǔ)設(shè)施必須落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，開展定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改、安全檢查等強(qiáng)制性及規(guī)定性工作；商用密碼應(yīng)用安全是保障網(wǎng)絡(luò)和信息系統(tǒng)安全的一項(xiàng)防護(hù)措施，也是保障關(guān)鍵基礎(chǔ)設(shè)施安全的重要手段，關(guān)鍵基礎(chǔ)設(shè)施必須按照密評(píng)相關(guān)標(biāo)準(zhǔn)、規(guī)定，開展密評(píng)工作；此外，對(duì)于使用了商用密碼的網(wǎng)絡(luò)和信息系統(tǒng)也必須按照密評(píng)相關(guān)標(biāo)準(zhǔn)、規(guī)定，開展密評(píng)工作。由于網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第三級(jí)以上網(wǎng)絡(luò)和信息系統(tǒng)和國家政務(wù)信息系統(tǒng)必須基于密碼技術(shù)保障其安全性，故針對(duì)此類系統(tǒng)必須開展密評(píng)工作。

　　等級(jí)保護(hù)是支撐國家網(wǎng)絡(luò)安全的基本制度、開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)和商用密碼應(yīng)用安全評(píng)估的基礎(chǔ)，若無法將等級(jí)保護(hù)制度落實(shí)到位，則很難實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)到位，商用密碼應(yīng)用安全評(píng)估工作也無法順利進(jìn)行。

　　等級(jí)保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、商用密碼應(yīng)用安全評(píng)估都是網(wǎng)絡(luò)安全運(yùn)營者應(yīng)履行的責(zé)任和義務(wù)，并非哪一個(gè)重要，哪一個(gè)不重要，只是安全防護(hù)力度、角度存在一定差異。