关基、等保和密评

评估类型	定义	法律依据
等保测评	测评机构依据等级保护制度，对非涉密信息系统的安全防护能力进行检测评估的活动。（核心标准：GB/T 22239-2019）	《网络安全法》第21条
关基安全检测评估	对关键信息基础设施安全性和风险进行检测评估的活动，覆盖制度落实、技术防护、应急演练等。	《关键信息基础设施安全保护条例》
密评	对采用商用密码技术建设的网络和信息系统，评估其密码应用合规性、正确性、有效性。（核心标准：GB/T 39786-2021）	《密码法》第23条

注：

关基范围：公共通信、能源、交通、金融、电子政务等重要行业设施（见图3）；

密评对象：法律强制要求用密码保护的关基设施（见图1）。

维度	等保测评	密评	关基安全检测评估
联系	• 第三级以上系统同时是关基和密评对象 • 关基是等保和密评的共同对象（图1）
评测目的	评估网络安全防护能力	评估密码应用合规性、有效性	分析关键设施整体安全风险
评估对象	全部网络和信息系统（含通信设施、云计算、工控系统）	仅限法律要求密码保护的关基设施	重要行业的核心设施（如电力调度系统、金融清算中心）
评估内容	10大类：物理环境、通信网络、计算环境、管理制度等	2大类： • 技术：物理/网络/设备/应用安全 • 管理：制度/人员/运维/应急	全覆盖： • 制度落实、攻防演练、数据流动安全监测等
评估流程	5步：定级→备案→整改→测评→监督检查	4步：确定对象→测评→报告→上报结果（感觉不对又好像对）评测准备、方案编制、现场评测、分析与报告编制，这个是模版里写的测评工作流程	动态循环：识别认定→防护→检测→预警→处置
评估周期	三级以上每年1次	同左	同左，另需季度漏洞扫描+年度攻防演练

关键区别：

等保是普适性基础要求，关基是要害设施专项评估，密评是密码应用专项审计（图1、图4）；

密评内容完全聚焦密码技术（如SM4加密、UKey认证），而等保覆盖更广（图2）。

评估类型	核心标准	主要评估内容
等保测评	GB/T 22239-2019	• 安全物理环境（门禁、防火） • 安全通信网络（VPN加密） • 安全管理机构（三员分立） • 安全运维（日志留存≥6月）
密评	GB/T 39786-2021	• 密码技术：SM4/SM3国密算法应用 • 密钥管理：生成/存储合规 • 密码产品：商密认证（如SJJ1601）
关基	《关基安全保护基本要求》	• 技术检测：渗透测试、异常流量监测 • 管理审计：应急响应、数据跨境审查 • 风险分析：连续性/保密性缺口

注：密评侧重算法合规性（如禁用RSA），关基侧重业务连续性风险（图4）。

等保：定级 → 备案 → 建设整改 → 等保测评 → 年度监督检查  
密评：确定对象 → 现场测评 → 输出报告 → 上报国家密码管理局  
关基：识别认定 → 安全防护 → 检测评估（含渗透测试） → 监测预警 → 事件处置（循环）

关键差异：

评估类型	结论等级	风险联动规则
等保测评	优、良、中、差	• 存在高风险 → 结论“差” • 结论“差”时系统需停用整改
密评	符合、部分符合、不符合	• 高风险（如密钥明文存储）→ 直接“不符合” • “不符合”系统不得上线
关基	风险评估结论（高/中/低）	高风险导致等保/密评结论同步降级（如关基高风险 ⇒ 等保“差” + 密评“不符合”）