文章总结： 本文对比等保与密评流程差异。等保侧重整体安全，起始于定级备案，由公安监管；密评聚焦密码合规，起始于方案编制评估，由国家密码局监管。两者法规与测评重点不同，建议企业委托有资质机构同步开展，三级以上系统需每年测评，新建系统上线前须完成密评。 综合评分： 80 文章分类： 政策法规,网络安全,安全建设,软文广告

等保测评与商用密码应用安全性评估（密评） 在流程上的核心区别

国源天顺 国源天顺

国源天顺

2026年1月16日 18:11 北京

这里为你系统梳理等保测评与商用密码应用安全性评估（密评） 在流程上的核心区别，附完整流程对照与关键差异说明，便于直接用于合规规划与执行落地。

01

一、整体流程框架对比

#

| 流程环节 | 等保测评（网络安全等级保护） | 密评（商用密码应用安全性评估） | 核心差异 | | — | — | — | — | | 顶层流程 | 定级 → 备案 → 建设整改 → 等级测评 → 监督检查（五步法，覆盖系统全生命周期） | 编制密码应用方案 → 方案评估 → 建设整改 → 系统评估 → 密评备案（五步法，聚焦密码专项全生命周期） | 等保以系统定级为起点；密评以密码方案设计与评估为起点 | | 法规依据 | 《网络安全等级保护条例》、GB/T 22239、GB/T 28448、GB/T 28449 | 《密码法》、《商用密码应用安全性评估管理办法》、GB/T 39786、GM/T 0115 | 监管主体不同（公安 vs 国家密码管理局） | | 监管主体 | 公安机关（市级及以上网安部门） | 国家密码管理局及地方密码管理部门 | 备案渠道、监督检查主体完全不同 |

02

二、各关键环节详细区别

（一）前置准备阶段

1. 等保测评前置

￮ 系统定级：运营单位依据《信息安全技术网络安全等级保护定级指南》（GB/T 22240）自主确定系统等级（1-5级），核心判断依据为“业务重要性”和“数据敏感性”；二级及以上系统需组织内部业务、IT、安全部门联合评审，必要时邀请外部专家参与，形成《定级报告》并签字盖章留存

￮ 公安备案：定级后10个工作日内，向市级及以上公安机关网安部门提交备案材料，包括定级报告、系统拓扑图、安全管理制度目录、责任部门及人员信息等；备案通过后获取《网络安全等级保护备案证明》，未备案将影响系统上线及后续测评

￮ 准备重点：收集系统整体架构（含网络分区、设备清单、软件版本）、安全边界（内外网隔离措施、接入控制规则）、已有安全措施（如防火墙、WAF、杀毒软件等设备的型号及配置）等全量信息，整理成《系统安全现状说明文档》

2. 密评前置（核心差异环节）

￮ 密码方案编制：针对新建/改造系统，由技术团队联合密码专家编制专门的《密码应用方案》，核心内容包括：密码应用场景梳理（如用户登录、数据传输、数据存储、签名验签等）、国密算法选型（优先选用SM2、SM3、SM4、SM9等算法）、密码产品清单（需标注产品型号及商用密码认证证书编号）、密钥管理方案（生成、存储、分发、更新、销毁全流程规则）、合规边界说明（明确哪些环节必须采用密码保护）

￮ 方案评估（等保无此强制环节）：委托具备《商用密码应用安全性评估机构资质》的单位或密码管理部门认可的专家进行评审，评审重点核查方案与系统业务场景的适配性、算法合规性、产品资质有效性；评审后出具《密码应用方案评估报告》，明确“合规项”“整改项”及整改时限，整改项需形成闭环验证后方可进入建设阶段

￮ 准备重点：仅聚焦密码相关部分，收集密码算法应用场景说明、拟选用密码产品的商用密码检测认证证书复印件、密钥生命周期管理流程草案、密码应用与业务系统的集成方案等专项信息，避免冗余信息干扰评估效率

（二）测评实施阶段

1. 测评方案编制

￮ 等保：基于系统等级对应的GB/T 22239全量要求（技术+管理，涵盖物理环境、网络通信、区域边界、计算环境、管理中心、管理制度、管理机构、人员管理、建设管理、运维管理10大安全域），测评方案需明确每个安全域的测评项、测评方法、判定标准；例如三级系统需额外增加“恶意代码防范”“入侵防范”“应急响应”等高级要求的测评内容

￮ 密评：基于GB/T 39786、GM/T 0115，仅针对密码应用的合规性、正确性、有效性制定方案，核心测评模块包括：物理和环境安全（密码设备防护）、网络和通信安全（传输加密）、设备和计算安全（密码产品配置）、应用和数据安全（数据加密/签名）、密钥管理、密码产品与服务、方案执行、应急处置；方案需对应《密码应用方案》中的每个场景，明确测评要点与验证方法

2. 现场测评重点

￮ 等保：

1. 技术：边界防护（核查防火墙ACL策略配置、VPN接入认证机制、内外网数据交互控制规则）、入侵检测（检查IDS/IPS设备部署位置、告警规则有效性、日志留存完整性）、日志审计（验证日志覆盖范围是否包含核心设备和应用，留存时间是否满足至少6个月要求）、数据备份（核查备份策略、备份介质安全性、恢复测试记录）、身份认证（检查账户权限分级、强密码策略执行、多因素认证部署情况）等全量安全控制措施

2. 管理：制度流程（核查是否建立涵盖网络安全、数据安全、应急响应等全领域的管理制度，制度是否定期修订）、人员管理（检查安全人员资质、背景审查记录、培训考核档案）、建设管理（核查系统采购、开发过程中的安全评审记录）、运维管理（检查设备巡检记录、漏洞整改台账、变更管理流程）等

3. 方法：文档审查（逐份核查制度文件、配置手册、测试报告等）、技术测试（使用漏洞扫描器、配置核查工具检测设备安全配置）、人员访谈（与系统管理员、安全负责人、运维人员等核实制度执行情况）、渗透测试（三级及以上系统强制开展，模拟黑客攻击测试系统漏洞，需出具渗透测试专项报告）

￮ 密评（核心差异）：

1. 技术：密码算法正确性（使用国密算法测试套件验证SM2/SM3/SM4等算法的实现是否符合标准，杜绝使用自研算法或境外禁用算法）、密钥生成/存储/分发/销毁全流程（核查密钥是否由合规设备生成，存储是否使用硬件安全模块HSM，分发是否采用加密通道，销毁是否有彻底性验证记录）、密码产品资质（逐一核查所有密码产品是否具备《商用密码检测认证证书》，证书是否在有效期内）、传输/存储加密有效性（通过抓包工具验证数据传输加密是否生效，检查存储数据加密密钥的管理方式）、签名验签正确性（测试数据篡改后签名验证是否失败，确保抗抵赖性）

2. 管理：密码管理制度（核查是否建立密钥管理、密码设备管理、密码应用操作等专项制度）、密钥管理流程（验证密钥申请、审批、领用、注销的流程记录完整性）、人员密钥权限（检查密钥管理员权限是否分级，是否存在越权操作风险）、密码应急处置（核查密码设备故障、密钥丢失等场景的应急预案及演练记录）

3. 方法：文档审查（重点核查密码应用方案、产品资质证书、密钥管理台账等专项文档）、密码专项技术测试（使用密码算法验证工具、密钥强度检测工具等专用设备开展测试）、人员访谈（仅针对密码管理员、系统集成人员核实密码应用实施细节），无渗透测试要求，不涉及系统其他漏洞检测

3. 整改与复测

￮ 等保：测评后15个工作日内出具《等级测评报告》，报告需包含系统基本信息、测评范围、测评方法、各安全域测评结果、问题清单、整改建议等内容，结论分为优、良、中、差四档；对测评发现的问题，需制定《整改方案》，明确整改责任人、整改措施及完成时限，高风险问题需立即整改，中低风险问题可限期整改；整改完成后向测评机构提交整改报告及佐证材料，申请复测，复测通过后本次测评流程结束，报告有效期1年

￮ 密评：测评后10个工作日内出具《商用密码应用安全性评估报告》，报告需对应密码应用方案的每个场景，明确测评结果与方案的一致性，结论分为符合、部分符合、不符合三档；“部分符合”需针对具体问题制定专项整改方案，修订密码应用相关配置或流程，“不符合”需重新梳理密码应用方案并再次评估；整改后需针对密码专项开展复测，复测重点核查整改项的闭环情况，通过后出具最终报告，报告有效期1年

（三）备案与监督阶段

1. 备案流程

￮ 等保：测评报告无需单独备案，以首次公安备案为基础，测评结果纳入公安部门年度监督检查依据；若系统发生重大变更（如架构调整、业务扩展），需重新定级备案并开展测评，重新提交测评报告供公安部门核查

￮ 密评：系统评估通过后，需在15个工作日内将《密码应用方案评估报告》《商用密码应用安全性评估报告》、密码产品资质复印件、整改验证材料等报送至地方密码管理部门专项备案；备案通过后获取《商用密码应用安全性评估备案回执》，若密码应用方案发生变更，需重新评估并更新备案信息

2. 监督检查机制

￮ 等保：公安机关每年至少开展一次监督检查，检查方式包括线上系统核查、线下现场检查、材料调阅等，检查内容涵盖备案情况、测评结果有效性、问题整改落实情况、安全措施运行状态等；对未达标或未整改的单位，可采取警告、罚款、责令停业整顿等处罚措施

￮ 密评：密码管理部门开展专项监督，重点检查密码应用方案执行情况、密评报告合规性、密码产品资质有效性、密钥管理流程规范性等；监督频率为每年至少一次，对违规使用非合规密码产品、密钥管理混乱的单位，将责令限期整改，情节严重的暂停系统使用

3. 周期要求

￮ 等保：三级及以上系统每年至少开展一次等级测评，二级系统每2年开展一次；若发生重大网络安全事件，需立即开展专项测评并向公安部门报备

￮ 密评：三级及以上系统（含关键信息基础设施）每年至少开展一次密评；新建系统需在上线前完成密评及备案，否则不得投入使用；系统密码应用发生重大变更（如更换密码算法、新增密码应用场景），需重新开展密评

03

三、核心差异总结

1. 起点不同：等保始于系统定级与公安备案，核心是先明确系统安全等级再开展后续工作，例如某政务系统需先确定为三级系统并完成公安备案，才能委托测评；密评始于密码方案设计与方案评估（强制前置），例如某金融系统在建设初期就需编制密码应用方案并通过评估，再进行密码产品部署

2. 范围不同：等保是系统整体安全评估（全生命周期、全层面），涵盖机房消防设施、员工安全培训等非密码相关内容；密评是密码专项安全评估（仅聚焦密码技术与管理），不涉及机房环境、普通员工培训等无关内容

3. 测评重点不同：等保关注整体安全防护能力（防攻击、防入侵、防泄露），例如检查防火墙是否能抵御外部攻击；密评关注密码合规与有效性（算法合规、密钥安全、产品资质、应用正确），例如检查数据加密是否使用合规国密算法，密钥是否安全存储

4. 备案与监督不同：分别由公安机关和国家密码管理局负责，备案材料、监督内容、处罚依据完全不同，例如等保违规处罚依据《网络安全法》，密评违规处罚依据《密码法》

04

四、补充说明（执行层面）

1. 等保与密评可同步开展，但需分别委托具备对应资质的测评机构：等保测评机构需具备《网络安全等级测评与检测评估机构服务认证证书》，并在公安机关备案；密评机构需在国家密码管理局备案并具备相应测评资质，严禁委托无资质机构开展测评，否则报告无效

2. 密评中的“方案评估”环节可与等保的“建设整改”阶段并行，例如在等保建设整改期间同步推进密码应用方案的编制与评估，避免重复工作；可成立专项工作组统筹两项工作，明确对接人，确保信息同步

3. 测评报告有效期均为1年（三级及以上系统），到期需重新测评并更新相关备案信息；到期未重新测评的，将面临监管部门处罚，且系统安全保障能力无法得到有效验证，增加安全风险

等保与密评存在部分协同点，例如数据加密环节既属于等保测评范围，也属于密评测评范围，可统筹整改措施，避免重复投入，例如部署符合国密标准的加密设备，同时满足两项测评要求

#

国源天顺科技产业集团成立于2017年，是公安部推荐的专业等级保护测评机构，致力于提供网络安全整体解决方案。

现有客户类型涵盖政府、医疗、连锁、纺织、能源、金融、教育及运营商、互联网等行业领域，赢得网络完全服务市场优异口碑，并凭借自身专业能力，积极参与网络安全相关制度建设。

我们拥有专业等级保护测评师团队、丰富的等级保护项目服务经验，实施周期短，一站式高效率通过等保测评，欢迎咨询交流。热线：13263158653

欢迎关注国源天顺官方公众号

国源天顺科技产业集团 TEL：13263158653

北京市朝阳区绿地中国锦大厦32层

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：国源天顺 国源天顺 国源天顺《等保测评与商用密码应用安全性评估（密评） 在流程上的核心区别》