等保测评密评对照 关于“等保”与“密评”在法律、标准、流程以及测评实施等方面的具体差异与内在 联系，一直是客户领导关注的焦点。他们希望了解这两项制度在维护网络安全 方面各自的作用与互补性，以确保信息系统的政策合规性，并在网络安全上得 到全面、高效的保障。 “等保”即网络安全等级保护，旨在通过不同安全等级的管理和技术措施，确保 信息系统的安全稳定运行。我国于 2017 年颁布的《网络安全法》中第二十一 加 全面和深入地保障了网络安全。 ”密评“即商用密码应用安全性评估，是对网络信息系统中所使用的商用密码产 品和应用进行的安全性评估。《密码法》于 2020 年开始实施，其中第二十七 条要求关键信息基础设施的运营者需依法使用商用密码进行保护，并自行或委 托专业机构开展安全性评估，确保与其他安全检测评估制度相衔接，避免重复 工作。 ”等保“和”密评“共同构成了我国网络安全防御体系的重要组成部分，两者相互补 信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到 相应的标准和要求。 ”密评“则聚焦于使用了商用密码的产品、系统和服务，对其密码算法选择、密 码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、 正确性和有效性评估。 以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面 对”等保“和”密评“的具体差异与内在联系进行简单的探讨。 01.国家法律法规角度对比

分保、等保、关保、密评 之间联系与区别 02 相关的法律法规依据 06 密评工作简介 01 什么是“ 3 保 1 评” 05 关保工作简介 03 分保工作简介 07 3 保 1 评联系与区 别 04 等保工作简介 H CONTENTS 01 PART ONE 什么是“ 3 保 1 评 ” 日日日日母 涉密信息系统分级保护 指涉密信息系统的建设使用单位根据分级保护管理 商用密码应用安全评估 是指对采用商用密码技术、产品和服务集成建设的 网络和信息系统密码应用的合规性、正确性、有效 性进行评估。 分保 等保 关保 密评 什么是“ 3 保 1 评” 网络安全领域 3 保 1 评 ◎ 02 PART.TWO 相关的法律法规依据 日 日母母 《国家保密法》 (2010 年 ) 第二十三条存储、处理国家秘密的计算机信息系统 ( 以下简称涉密信息系统 和国家有关规定要求使用商 用密码进行保护的关键信息 基础设施，其运营者应当使 用商用密码进行保护，自行 或者委托商用密码检测机构 开展商用密码应用安全性评 估。商用密码应用安全性评 估应当与关键信息基础设施 安全检测评估、网络安全等 级测评制度相衔接，避免重 复评估、测评。 中华人民共和国 网络安全法 第三十一条 国家对公共通信

根据《法律、行政法规、国务院决定设定的行政 许可事项清单》，国家密码管理局负责的行政许 可事项有四项。 根据《密码法》，密码管理部门根据工作需要会 同有关部门建立核心密码、普通密码的（ ） 和应急处置等协作机制，确保核心密码、普通密 码安全管理的协同联动和有序高效。 49 单项选择题 根据《商用密码管理条例》规定，甲公司欲进口 境外商用密码技术用于其自主研发的产品中，下 列选项中表述正确的是（ ）。 50 单项选择题 （ 商用密码监管中，密码管理部门不得要求商用密 码从业单位向其披露密码相关专有信息，以下哪 项不属于这类信息？（ ） 根据《电子认证服务密码管理办法》，电子认证 服务提供者变更名称的，应当自变更之日起（ ），持变更证明文件到所在地的省、自治区、 直辖市密码管理机构办理《电子认证服务使用密 码许可证》更换手续。 97 单项选择题 根据《密码法》，密码工作机构发现影响核心密 码、普通密码安全的重大问题时，应该（ A国乙公司出售一款商用密码产品。乙公司在使 用后认为该款商用密码产品功能强大，欲出售给 B国的关联公司丙公司使用，下列选项中表述正 确的是（ ）。 103 单项选择题 根据《密码法》，在保护涉及（ ）、商业秘 密、个人隐私等信息的前提下，密码管理部门和 有关部门依法做好商用密码有关信用信息的公开 工作。 104 单项选择题 下列哪项不属于《密码法》规范的密码？（ ） 105 单项选择题 根据《密码法》，关键信息基础设施的运营者采

政策脉络 × 产业生态 × 应用场景 × 标准化建设 2026 网络安全 密评项目，机房密码评估， IDC 机房密码安全全流程 全知识面覆盖解决方案 政策解读及需求分析 01 目 录 02 解决方案能力 03 部署方案 04 方案亮点 加入星球获取更多更全的数智化解决方案 第 3 页 密码政策发展史 第六章第三十八条：“非涉密的关键信息基础设施、 网络安全等级保护第三级以上网络、国家政务信息 网络安全等级保护第三级以上网络、国家政务信息 系统等网络与信息系统，其运营者应当使用商用密 码进行保护，制定商用密码应用方案，配备必要的 资金和专业人员，同步规划、同步建设、同步运行 商用密码保障系统，自行或者委托商用密码检测机 构开展商用密码应用安全性评估” 从信息系统的管理制度、人员管理、 建设运行和应急处置四个方面提出密 码应用管理要求，为信息系统提供管 理方面的密码应用安全保障。 1996.7 1999 12 202 2023 在我国大力发展商用密 码和加强对商用密码管 理 第四章第三十条：“各部门应当严格遵守有关保 密等法律法规规定，构建全方位、多层次、一致 性的防护体系，按要求采用密码技术，并定期开 展密码应用安全性评估，确保政务信息系统运行 安全和政务信息资源共享交换的数据安全” 第 4 页 密评定义与工作流程 商用密码应用 （简称“密评”），是指在采用商用密码技术、产品和服务集

网络安全—密码应用方案 03 密码应用方案 内容简介 01 密码应用 政策规范 02 密码应用 基本知识 05 集成商 经验建议 目录 C O N T E N T S 04 密评简介 PART 01 密码应 用 加入星球获取更多更全的数智化解决方案 1.1 密码应用工作法规依据 《中华人民共和国密码法》 2020 年 1 月 1 日起施行 第二十七条 旨在规范密码应用和管理 ，其运营者应当依照相关法律法规和标准规范 ，根据商用密码应用需求 ，制定商用 密码应用方案 ，规划商用密码保障系统。 重要网络与信息系统的运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评 估。 商用密码应用方案未通过商用密码应用安全性评估的 ，不得作为商用密码保障系统的建设依据。 1.1 密码应用工作法规依据 . 第八条 重要网络与信息系统建设阶段 ，其运营者应当按照通过 其中： 特定变换 ：是指明文和密文相互转换的各种数 学方法和实现机制。 加密保护 ：是指使用特定变换 ，将信息变成攻 击者无法识别的符号序列 ，也就是从明文转换 成密文 ，保证了信息的机密性。 安全认证： 是指使用特定的变换 ，确认信息、 身份、行为是否真实 ，保证信息来源的真实性、 数据的完整性、 和行为的不可否认性。 2.1 密码的基本概念 l 国密算法即国家密码局认定的国产密码算法

岗位评估的主要方法 岗位间相互 比较 岗位与标准 比较 排序法 排序法 岗位分类法 岗位分类法 要素比较法 要素比较法 要素评分法 要素评分法 定性法 定量法 从 整 体 评 价 一 个 岗 位 从 各 要 素 评 价 一 个 岗 位 全球标杆 中国智慧 4.1.4 排序法 排 序 最 高 的 员 工 排 序 最 低 的 员 工 宋江 卢俊义 吴用 公孙胜 时迁 段景住 白胜 …… 全球标杆 中国智慧 3.1.2 标杆岗位选择的三个 基 本原则 够用 够用 适用 适用 好用 好用 标杆岗位选择数量够用，过密就不能起到框定的作用，原 则上岗位越高 ，越具 独特性，选择的比例越大，标杆岗位 大致占岗位总数的 15—30% 标杆岗位选择数量够用，过密就不能起任职者与岗位要求 基本一致 所选岗位具有横向可比性 33 全球标杆 中国智慧 3.1.3 选择标杆岗位 XX 科技评估岗位 熟悉公司的业务流程、职责分工，熟悉评估岗位的职位说明书  掌握 XX 岗位价值评估工具，对评估标准有清晰准确的理解  正直公正，保持中立性和尺度一致性原则 全球标杆 中国智慧 3.3 岗位价值评估打分 第一步 • 岗位价值评 估方法培训 第二步 • 评估工具发 送 第三步 • 评委练习打 分评价 第四步 • 评委集中评价 第五步 • 数据处理 百思特职位价值 评估工具 全球标杆 中国智慧 3

用户前得到完全清除， 无论这些信息是存放在 硬盘上还是在内存中； 4.5 通信完 整 性(S3) 应采用密码技术保 证通信过程中数据的完 整性。 4.6 通信保 密 性(S3) a)在通信双方建 立连接之前，应用系统 应利用密码技术进行会 话初始化验证； 12 4.7 抗抵 赖 (G3) a)应具有在请求 的情况下为数据原发者 或接收者提供数据原发 主帐号只能在规定的地址段内进行资源访问。 55 主帐号的新建和修改时，支持通过配置访问锁定策略，达到限 制主帐号密码输入错误次数和锁定时间。 主帐号的新建和修改时，支持通过配置密码策略，达到指定密 码有效期和限制主帐号密码强度的目的。 支持主帐号的分组管理，分组可以树形方式展现，不限制分组 层级数量。 支持主帐号的证书认证，可以灵活配置主帐号的认证方式。堡 垒主机上定义主帐号时可以为主帐号生成证书，方便证书认证 关的监督和指导。 负责建立信息安全策略体系，制定网络及信息安全工作制度 及管理流程，起草、制定网络及信息安全的技术规范、标准及策 略，聘请外部专家对网络及信息安全工作制度及管理流程进行评 审，组织在全网范围内的实施。 组织、协调内部各部门实施网络及信息安全工作。在单位内 开展信息安全知识共享，建立有针对信息安全的知识共享的技术平 台，促进内部交流与学习。定期组织内部人员或聘请外部单位，公