“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化，網(wǎng)絡安全和信息化是一體之兩翼、驅動之雙輪”。隨著5G、大數(shù)據(jù)、云計算、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新一代信息技術的發(fā)展，網(wǎng)絡空間與物理空間被徹底打通，網(wǎng)絡空間成為繼“陸海空天”之后的第五大戰(zhàn)略空間，愈演愈烈的網(wǎng)絡攻擊已經(jīng)成為國家安全的新挑戰(zhàn)。為保障網(wǎng)絡空間安全，我國網(wǎng)絡安全法治建設持續(xù)推進，《網(wǎng)絡安全法》、《密碼法》等多部法律已頒布實施，《個人信息保護法》《數(shù)據(jù)安全法》加速制定中，網(wǎng)絡空間不再是“法外之地”。

在《網(wǎng)絡安全法》中明確規(guī)定國家實行網(wǎng)絡安全等級保護制度，落實網(wǎng)絡安全責任制，依據(jù)相關規(guī)定開展等級保護工作，通過等級測評來檢驗網(wǎng)絡系統(tǒng)的安全防護能力，識別系統(tǒng)可能存在的安全風險；同時《網(wǎng)絡安全法》中規(guī)定關鍵信息基礎設施運營者通過安全檢測評估的方式識別可能存在的風險；在《密碼法》中規(guī)定使用商用密碼進行保護的關鍵基礎設施，其運營者應履行開展商用密碼應用安全評估的工作，同時指出商用密碼應用安全評估、關鍵信息基礎設施安全檢測評估與網(wǎng)絡安全等級測評進行銜接，避免重復評估、測評。

商用密碼應用安全評估、關鍵信息基礎設施安全檢測評估與網(wǎng)絡安全等級測評三者間該如何銜接，三者間又存在什么樣的聯(lián)系與區(qū)別呢？本文對其進行簡要分析。

基本概念

網(wǎng)絡安全等級測評：（簡稱“等級測評”）是測評機構依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動，是信息系統(tǒng)安全等級保護工作的重要環(huán)節(jié)。

關鍵信息基礎設施安全檢測評估：（簡稱“關基安全檢測評估”）對關鍵信息基礎設施安全性和可能存在的風險進行檢測評估的活動。檢測評估內(nèi)容包括但不限于網(wǎng)絡安全制度（國家和行業(yè)相關法律法規(guī)政策文件及運營者制定的制度）落實情況、組織機構建設情況、人員和經(jīng)費投入情況、教育培訓情況、網(wǎng)絡安全等級保護工作落實情況、密碼應用安全性評估情況、技術防護情況、云服務安全評估情況、風險評估情況、應急演練情況、攻防演練情況等，尤其關注關鍵信息基礎設施跨系統(tǒng)、跨區(qū)域間的信息流動，及其關鍵業(yè)務流動過程中所經(jīng)資產(chǎn)的安全防護情況。

商用密碼應用安全評估：（簡稱“密評”）是指對采用商用密碼技術、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)密碼應用的合規(guī)性、正確性、有效性進行評估。

聯(lián)系與區(qū)別

1) 評估對象等級測評、關基安全檢測評估、密評三者間詳細的評估對象如下：

三者評估對象間的關系如下如：

等級保護對象基本覆蓋了全部的網(wǎng)絡和信息系統(tǒng)，第三級以上的網(wǎng)絡安全等級保護對象同時為關基和密評的評估對象；關鍵基礎設施一定是等級測評和密評的評估的對象；密評對象含關鍵基礎設施、第三級等級保護對象和部分重要的信息系統(tǒng)。

2) 評估周期

等級測評、關基安全檢測評估、密評在實際開展過程中應銜接進行，第三級以上的等級保護對象、關鍵基礎設施、商用密碼應用安全的評估周期均為每年至少一次。針對被識別為關鍵基礎設施的系統(tǒng)，為避免重復測評，可先確定等級保護對象，確定安全級別、進行關鍵基礎設施識別/安全防護、開展密碼應用方案/等級保護建設方案評估、開展等級測評及密評工作以及進行關鍵基礎設施安全檢測評估。

3) 評估內(nèi)容等級測評、關基安全檢測評估、密評的主要參考標準和評估內(nèi)容如下：

關基安全檢測評估包括了等級測評、密評的所有測評內(nèi)容，密評中的部分評估內(nèi)容來自等級保護基本要求中關于密碼相關的要求項。

4) 評估流程

等級保護工作包括五個規(guī)定動作：定級、備案、建設整改、等級測評、監(jiān)督檢查；關鍵信息基礎設施網(wǎng)絡安全保護包括識別認定、安全防護、檢測評估、監(jiān)測預警、事件處置五個環(huán)節(jié)；商用密碼應用安全評估的工作流程大致包括確定評估對象、開展測評工作、輸出密碼測評報告、密評結果上報四個階段。

關基安全檢測評估通過合規(guī)檢查、技術檢測和分析評估完成，具體評估流程為：評估工作準備（調(diào)研、方案制定）、工作實施、工作總結（風險研判、報告編制、結果反饋）；密評和等級測評包括測評準備、方案編制、現(xiàn)場測評、測評結論分析、測評報告編制。

三者的評估流程基本類似，整個工作開展綜合流程可歸納為：

5) 評估結論

網(wǎng)絡安全等級保護評估結論為優(yōu)、良、中、差，密評的測評結論有符合、部分符合、不符合；等級測評和密評都引入了風險分析，依據(jù)資產(chǎn)、威脅、脆弱性進行賦值，并計算風險值進行判定，風險結論有高、中、低；關鍵信息基礎設施保護基于風險評估的方法，重在分析安全風險可能引起的安全事件及總體安全狀況。當網(wǎng)絡和信息系統(tǒng)存在高風險時，等級測評和密評的結論均為不符合（差）。

等級保護是關鍵信息基礎設施保護的基礎，關鍵信息基礎設施是等級保護的重點防護對象。關鍵信息基礎設施必須落實網(wǎng)絡安全等級保護制度，開展定級備案、等級測評、安全建設整改、安全檢查等強制性及規(guī)定性工作；商用密碼應用安全是保障網(wǎng)絡和信息系統(tǒng)安全的一項防護措施，也是保障關鍵基礎設施安全的重要手段，關鍵基礎設施必須按照密評相關標準、規(guī)定，開展密評工作；此外，對于使用了商用密碼的網(wǎng)絡和信息系統(tǒng)也必須按照密評相關標準、規(guī)定，開展密評工作。由于網(wǎng)絡安全等級保護基本要求第三級以上網(wǎng)絡和信息系統(tǒng)和國家政務信息系統(tǒng)必須基于密碼技術保障其安全性，故針對此類系統(tǒng)必須開展密評工作。

等級保護是支撐國家網(wǎng)絡安全的基本制度、開展關鍵信息基礎設施保護和商用密碼應用安全評估的基礎，若無法將等級保護制度落實到位，則很難實現(xiàn)關鍵信息基礎設施保護到位，商用密碼應用安全評估工作也無法順利進行。

等級保護制度、關鍵信息基礎設施保護、商用密碼應用安全評估都是網(wǎng)絡安全運營者應履行的責任和義務，并非哪一個重要，哪一個不重要，只是安全防護力度、角度存在一定差異。