等保2.0与密评，先做哪个？

在数字化转型加速推进的今天，网络安全已成为企业生存发展的生命线。等保 2.0（网络安全等级保护 2.0）和密评（商用密码应用安全性评估）作为我国网络安全领域的两大核心合规要求，被越来越多的单位提上日程。然而，许多单位在面对这两项合规任务时，常常陷入一个困惑：两者都要做，那先后顺序有讲究吗？先做等保还是先做密评？

这个问题并非简单的排序游戏。它涉及对两套制度内在逻辑的理解、对组织自身现状的判断，以及对合规成本和效率的综合考量。本文将从制度定位、逻辑关系和实操建议三个层面展开分析。

PART 01等保2.0与密评的定义与法律依据

1. 等保 2.0：网络安全的基础防线

等保 2.0 是我国网络安全领域的基本制度，是《网络安全法》《数据安全法》《个人信息保护法》等法律法规明确规定的法定义务。它依据系统重要性和遭受破坏后的危害程度，将网络和信息系统划分为五个安全保护等级（一级最低，五级最高），覆盖所有非涉密网络与信息系统，包括云计算、物联网、工业控制系统、移动互联网等新兴领域。

等保 2.0 的核心流程围绕"定级→备案→建设整改→等级测评→监督检查"五大环节展开，形成闭环管理。其核心目标是解决"系统安不安全"的问题，构建"一个中心（安全管理中心）+三重防御（通信网络、区域边界、计算环境）"的防护体系，从物理安全、网络安全、主机安全、应用安全、数据安全等多个层面保障系统安全。

|--------|--------------------------|
| 维度 | 典型内容 |
| 安全物理环境 | 机房选址、防火防水、电力保障 |
| 安全通信网络 | 网络架构、通信传输、边界防护 |
| 安全区域边界 | 访问控制、入侵防范、恶意代码防护 |
| 安全计算环境 | 身份鉴别、访问控制、安全审计、数据完整性与保密性 |
| 安全管理中心 | 系统管理、审计管理、安全管理、集中管控 |

2. 密评：密码安全的专项核验

密评全称为商用密码应用安全性评估，是依据《密码法》《网络安全等级保护条例》等法律法规开展的专项评估活动。它聚焦于系统中商用密码应用的合规性、正确性、有效性，重点检查密码算法是否合规、密钥管理是否规范、密码产品是否经过国家密码管理局核准等内容。

密评的核心流程包括"确定评估对象→开展测评工作→输出密码测评报告→密评结果上报"四个阶段。其核心目标是解决"密码合不合规"的问题，确保密码技术真正发挥"安全基因"的作用，为数据提供高强度的加密保护，防止数据泄露和篡改。

3. 法律强制要求

《密码法》第 27 条明确规定：涉及国家安全、社会公共利益的关键信息基础设施（CII），必须同步规划、建设、运行商用密码保障系统。

《网络安全等级保护条例》第 14 条进一步细化：等级保护第三级及以上系统，应通过商用密码应用安全性评估后方可上线运行。对于使用商用密码的网络安全等级保护第三级及以上系统，运营者应当分别在公安部门的指导下完成年度等级保护测评，并在国家密码管理部门的统一组织下完成年度商用密码应用安全性评估。

|---------|---------------------------|
| 维度 | 典型内容 |
| 物理和环境安全 | 电子门禁、视频监控记录的密码保护 |
| 网络和通信安全 | 通信链路的加密、身份认证机制 |
| 设备和计算安全 | 设备身份鉴别、日志完整性保护 |
| 应用和数据安全 | 用户身份认证、关键数据的机密性与完整性、不可否认性 |
| 密码技术与管理 | 密码算法合规性（国密算法）、密钥管理全生命周期 |

PART 02等保2.0 与密评的关系

等保 2.0 和密评不是相互独立的两个合规任务，而是相辅相成、不可分割的整体，二者的关系可以概括为"等保是基础，密码是灵魂"。

1. 等保 2.0 包含密评要求

等保 2.0 的基本要求中，明确将密码技术应用作为重要内容。例如，在身份鉴别、数据传输、数据存储、数据备份等多个环节，都要求采用密码技术进行保护。而密评正是对这些密码要求落实情况的专项核验，是等保 2.0 合规的必要条件。

2. 等保等级决定密评深度

系统的等保等级直接决定了密码应用的等级需求和密评的深度要求。等保一级、二级系统对密码应用的要求相对基础，而等保三级及以上系统，特别是关键信息基础设施，对密码应用的要求更为严格，密评也更为全面和深入。

3. 同步规划是政策导向

从政策层面看，国家明确要求等保 2.0 和密评"同步规划、同步建设、同步运行"。在系统立项之初，运营者就应当根据系统的等保等级同步编制《密码应用方案》；在实施阶段，依据评审通过的方案选购合规密码产品并完成集成；在系统上线运行后，及时委托具有资质的机构开展等级测评和密评工作。

PART 03先做哪个？不同场景下的优先级选择

虽然政策要求同步规划建设，但在实际操作中，企业往往需要根据自身情况做出优先级选择。以下是几种常见场景下的建议：

1. 新建系统：同步规划，密评前置

对于新建系统，特别是等保三级及以上系统，建议遵循"同步规划、密评前置"的原则：

• 规划阶段：在系统设计初期，同步制定等保建设方案和密码应用方案，确保密码技术与系统架构深度融合
• 建设阶段：优先完成密码应用整改，选购经国家密码管理局核准的密码产品（如密码机、VPN、USB Key等），完成业务系统的代码改造和接口调用
• 测评阶段：先开展密评，确保密码应用合规后再进行等保测评，避免因密码问题导致等保测评不通过

这种方式的优势在于：避免后期大规模改造，降低成本和风险；确保密码应用与系统功能无缝集成，提升整体安全防护水平；符合政策要求，为系统顺利上线奠定基础

2. 存量系统：先等保，后密评

对于已经上线运行的存量系统，建议采用"先等保，后密评"的路径，原因如下：

1. 等保范围更大，密评是其中一部分 等保测评覆盖系统的各个层面，通过等保测评可以全面了解系统的安全状况，明确哪些地方需要用密码、需要用什么样的密码，为后续密评工作提供清晰的方向。如果先做密评，可能会因系统其他安全问题导致密码应用效果不佳，甚至需要重新评估。
2. 等保整改是密评的基础 存量系统往往存在较多安全隐患，如网络架构不合理、权限管理混乱、数据备份不规范等。这些问题不解决，即使密码应用合规，也难以保障系统整体安全。先通过等保整改解决这些基础问题，再进行密评，可以确保密码技术发挥最大效能。
3. 降低合规成本，避免重复工作

等保整改中已经包含部分密码相关要求，如数据传输加密、身份鉴别等。先完成等保整改，可以复用这些成果，减少密评阶段的整改工作量，降低整体合规成本。

3. 特殊场景：同步开展，协同推进

对于等保三级及以上的关键信息基础设施，或者对安全要求极高的金融、政务系统，建议采用"同步开展，协同推进"的方式：

• 委托同时具备等保测评资质和密评资质的机构，制定统一的评估方案
• 同步开展现场测评，共享资产梳理、漏洞扫描等成果，减少重复工作
• 统一制定整改计划，协调推进技术改造和管理优化，确保两项合规任务同时完成
• 同步提交测评报告，及时向公安机关和密码管理部门备案

这种方式的优势在于：缩短合规周期，确保系统尽快达到安全要求；避免等保和密评之间出现衔接问题，提升合规效率；符合政策对关键信息基础设施"同步规划、同步建设、同步运行"的要求

PART 04总结

等保 2.0 和密评先做哪个，没有绝对的答案，关键在于单位的实际情况和系统特点。对于新建系统，建议"同步规划，密评前置"；对于存量系统，建议"先等保，后密评"；对于关键信息基础设施，建议"同步开展，协同推进"。

无论选择哪种路径，都应认识到：等保 2.0 和密评不是相互孤立的合规任务，而是构建网络安全防护体系的两个重要组成部分。只有将两者有机结合，同步推进，才能真正提升系统的安全防护水平，满足法律法规要求，为企业数字化转型保驾护航。

最后，需要特别提醒的是，等保 2.0 和密评都是法律法规明确规定的法定义务，应高度重视，避免因合规不到位而面临处罚。同时，合规只是起点，企业应在合规基础上，持续提升安全防护能力，从"被动合规"转向"主动安全"，为业务发展提供坚实保障。