重点测评内容

物理安全 安全保密技术 安全保密管理 安全管理制度 系统运行安全

安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全远维管理

合规检查 安全技术检测 分析评估

总体要求 密码功能要求 密码技术应用要求 密钥管理 安全管理

关键信息基础设施，网络安全保护第三级以上的系统，国家政务信息系统

关键信息基础设施：如电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业

重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统；如政府、教育、卫生等重要网站及各种信息系统

保护对象

所有涉及国家秘密的信息系统，重点是党政机关、军队和军工单位。

确定评估对象、开展测评工作 输出密码测评报告、密评结果上报

识别认定、安全防护、检测评 估著、监测预警、事件处置

定级、备案、整改、测评、复核

系统定级、方案设计、工程实 施、系统测评、系统审批、日 常管理、测评与检查和系统废止

工作流程

系统分级

一至四级逐级增强保护能力

参照等保，重点保护

第一级《自主保护级》 第二级《指导保护级》 第三级《监督保护级》 第四级《强制保护级》 第五级《专控保护级》

秘密级、机密级、绝密级

评估标准

《涉及国家秘密的计算机信息系统分级保护测评指南》

《信息安全技术网络安全等级保护测评过程指南》

《信息安全技术关键信息基础设施安全检查评估指南》

《商用密码应用安全性评估测评过程指南》

密码管理局

公安网监部门

公安网监部门

职能部门

国家保密行政管理部门

《信息系统密码应用基本要求》

《关健信息基础设施网络安全保护基本要求》

《网络安全等级保护基本要求》

密评

关保

等保

分保

《涉及国家秘密的信息系统分级保护技术要求》

保护要求

类别

3保1评的联系与区别

关保：关键信息基础设施保护

密评：商用密码应用安全评估

等保：网络安全等级保护

分保：涉密信息系统分级保护

网络信息安全保护工作

“3保1评”的关系图

2

3

4

5

6

1

网络安全运营者需承担的责任和义务包括等级保护制度、关键信息基础设施的保护以及商用密码应用的安全评估，这些并非区分轻重，而是安全防护的力度和角度各有不同

等级保护是关键信息基础设施保护的基础，关键信息基础设施是等级保护的重点防护对象

核心信息基础设施需执行网络安全等级保护制度、安全建设整改以及安全检查等强制进行分级备案，等级评估、性与规定性任务。

等级保护乃支撑国家同络安全之基本制度，亦是开展关键信息基础设施保护、商用密码应用安全评估之基石。若等级保护制度落实不力，则关键信息基础设施难保无度，商用密码应用安全评估亦难顺利推进。

商用密码的安全应用构成了网络与信息系统安全的防护屏障，同时也是确保关键基础设施安全的关键方法。因此，关键基础设施的安全评估必须遵循与密码相关的评估标准和规定进行。

涉密信息系统分级保护是国家信息安全在涉密领域的具体体现

“3保1评”的联系与区别

上报密码管理部门审核

密评机构将出具《密码应用安全性评估报告》

委托密评机构开展系统评估

组织相关单位编制密码应用方案

上报 密评结果

输出 密码测评报告

开展 测评工作

确定 评估对象

密评的工作流程

等级 4

等级 3

等级 2

等级 1

在等级3的要求上，需具备更强的身份鉴别、数据安全、访问控制等密码应用技术与管理能力，构建规范、可靠、完整且主动防御的密码保障体系，乃体系化密码应用的强制要求。

在等级2要求至上，需更强的身份鉴别、数据安全、访问控制等密码应用技术与管理能力，信息系统须构建规范、可靠、完整密码保障体系，属体系化密码应用引导性要求。

在等级1的要求中，信息系统需具备身份鉴别、数据安全保护的非体系化密码保障力，可应对部分安全威胁。

信息系统密码应用安全要求的最低等级，由信息系统管理者根据实际业务情况来自主选择密码技术，以应对潜在的安全风险。

密评的等级划分

能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。

电信网、广播电视网、互联网

核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统

党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

基础信息网络

重要信息系统

重要工业 控制系统

面向社会服务 政务信息系统

需要密评的 系统和单位

密评的对象

为破解商用密码应用难题为网络与信息系统安全提供科学评价，规范商用密码应用及管理。扭转商用密码应用不广不规范、不安全局面，保障其在网络与信息系统中有效运用，切实筑牢网络安全密码防线。开展密评乃国家网络安全与密码相关法律法规明确要求，属法定责任与义务。

商用密码应用安全性评估（简称“密评”），是对来用商用密码技术、产品及服务所建网络与信息系统中，密码应用的合规、正确、有效性开展的评估。

指对非涉密信息实施加密保护或安全认证的密码技术及产品，商用密码技术乃商用密码之核心，是信息化时代社会团体、组织、企事业单位与个人维护自身权益的重要手段。国家将商用密码技术列为国家秘密，任何单位与个人均有责任与义务守护其秘密。

密评的意义

商用密码安全性评估

商用密码

3

2

1

保护要求： 信息系统内的身份鉴别、数据加密、数据签名等密码技术功能，依托密码算法、技术、产品及服务实现。需从物理与环境、网络与通信、设备与计算、应用与数据等各层面，提供全面密码应用安全技术支撑，以保障用户身份真实性、重要数据机密完整及操作行为不可否认性

密评

商用密码应用安全评估 指对运用商用密码技术、产品及服务所建网络信息系统的密码应用，评估其合规、正确、有效性。

“3保1评”之 密评：商用密码应用安全评估

安全运维管理

安全建设管理

安全管理人员

安全管理机构

安全管理制度

● 等保定级和备案 ● 安全方案设计 ● 安全产品采购和使用 ● 自主和外包软件开发管理 ● 安全保护工程实施管理 ● 安全防护测试验收 ● 系统验收交付 ● 定期等保测评 ● 评审和审核安全服务提供商

● 考核录用人员专业技能，签署保密协议 ● 离岗人员及时回收权限、证照等 ● 加强安全意识和安全技能教育培训 ● 定期进行安全技术考核

● 设立相应领导、管理、审计、运维机构和岗位 ● 配备系统管理、审计管理和安全管理员 ● 明确授权和审批事项和制度 ● 加强内部和外部安全专家沟通协作 ● 定期审核和检查安全策略和安全管理制度

● 运行环境管理 ● 被保护资产管理 ● 信息存储介质管理 ● 漏洞和风险管理 ● 网络和系统安全管理 ● 恶意代码防范管理 ● 系统、变更配置和密码管理 ● 备份与恢复管理、外包运维管理 ● 安全事件和应急预案管理

● 制定安全策略 ● 建立安全管理制度 ● 专人负责制定和发布管理 ● 定期评审和修订管理制度

等保的安全管理

安全计算环境

● 入侵检测/防御 ● 数据库审计 ● 动态防御系统 ● 网页防篡改 ● 数据备份 ● 终端安全

建设要点 ● 强调系统及应用安全 ● 加强身份鉴别机制与入侵防范

安全区域边界

● 下一代防火墙 ● 入侵检测/防御 ● 上网行为管理 ● 安全沙箱 ● 动态防御系统 ● 身份认证管理 ● 流量安全分析 ● WEB 应用防护 ● 准入控制系统

建设要点 ● 强化安全边界防护及入侵防护 ● 优化访问控制策略

安全通信网络

● 下一代防火墙 ● VPN ● 交换机 ● 路由器

建设要点 ● 构建安全的网络通信架构 ● 保障信息传输安全

建设要点 ● 统一管控安全事宜 ● 集中分析并审计 ● 定期排查漏洞隐患

● 大数据安全 ● IT 运维管理 ● 堡垒机 ● 漏洞扫描 ● 网站监测预警 ● 等保安全一体机

安全管理中心

等保的技术保护方案

等保 2.0 基本框架

复核

测评

整改

定级

备案

等保的系统定级

第五级 专控保护級

第四级 强制保护级

第三级 监督保护级

第二级 指导保护级

第一级 自主保护级

信息系统受到破坏后会对社会秩序和公其利益造成特别严重损害或者对国家安全造成严重损害。

信息系统受到破坏后，会对社会秩序和公其利益造成严重损害，或者对国家安全造成损害。

信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

信息系统受到破坏后会对国家安全造成特别严重损害。

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

等保的系统定级

保护对象 运营商与服务商：电信、广电领域公用通信网、广播电视传输网等基础信息网，及经营性公众互联网信息服务互联网接入服务、数据中心等单位的关键信息系统。 重要行业：铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发改、国防科技、公安、人事劳动社保、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业部门，其生产、调度、管理、办公等关键信息系统。 重要机关：市(地)级及以上党政机关的重要网站与办公信息系统。

网络安全等级保护 国家制定统一安全等级保护规范与标准，组织各方对信息系统分等级实施安全保护。

等保

“3保1评”之等保：网络安全等级保护

运营者协同安全保护部门，推进关键信息基础设施的识别与认定，聚焦其承载的关键业务，展开风险识别此环节乃开展安全防护、检测评估、监测预警、应急处置等工作的基石。

运营者依据已辨识的安全风险，于规划、人员、数据、供应链等层面，制定并落实适宜的安全防护举措，保障关键信息基础设施运行安全。此环节在认定及识别风险后，制定安全防护措施

为检验安全防护成效，发掘网络安全隐患运营者制并分析潜定检测评估制度，明确流程及内容等要素在风险可能引发的安全事件.

为检验安全防护成效，运营者制定并施行网络安全监测预警与信息通报制，对将发或正发的安全事件或威胁，提前或即时发出警示。

依检测评估与监测预警所发现问题，运营者制定井落实恰当应对举措，修复网络安事件致损的功能或服务，动态辨识关键者意基础设施安全风险。

应急处置

监测预警

检测评估

安全防护

识别认定

05

04

03

02

01

事件处置

监测预警

检测评估

安全防护

识别认定

“关保”的实施流程

包含“等保”的同时增加更多动态风控的内容，比“等保”更加严格且全面。

“关保”基于等保的基础

加强关键信息基础设施关键业务的安全保护

“关保”的“安全防护”环节要求

关键信息基础设施的运营者开展等保定级备案、安全建设、整改、测评及自查工作

识别认定、安全防护、检测评估、监测预警、事件处置五个环节。

“关保”流程主要包括

关保的工作内容

关键信息基础设施安全防护能力评价完成 能力等级1 → 等级保护测评结果至少达中 能力等级2 → 等级保护测评结果至少达良 能力等级3 → 等级保护测评结果至少达优

关键信息基础设施安全防护能力评价中 组织须依评价内容与操作方法开展评价，给出各评价指标判定结果及所处圾别，确定各能力域级别，综合5个能力域及等级保护测评结果，得出关键信息基础设施安全防护能力级别。

关键信息基础设施安全防护能力评价前 关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。

3

2

1

关键信息基础设施安全 防护能力评价内容

关保的安全防护能力评价内容

关键信息基础设施安全防护能力 依5个能力域完成度分级评估，设3个能力等级，自等级1至等级3逐级提升，等级间呈递进，高等级能力要求涵盖所有低等级要求。 关键信息基础设施安全防护所需具备的能力 涵盖识别认定、安全防护、检测评估、监测预警、事件处置5项关键能力，各能力含若干指标，各指标含若干评价内容。

识别认定精准明晰，防护措施成体系、自动化强，可速检速评主要安全风险。以白动化工具监测预警、感知态势，信息共享协同佳，事件响应及时高效，业务近乎实时恢复。

精准识别相关风险，防护举措得力，可检测评估主要安全风险， 主动监测预警与态势感知，事件响应及时，业务迅速恢复。

可识别风险，防护体系完备，能开展检测评估，具监测预警之能； 依规接收报送信息；遇突发事件可应对并按计划复原。

能力等级 2

能力等级 2

能力等级 1

等级特征

关键信息基础设施 安全防护能力等级

关保的安全防护等级

关键信息基础设施 面向公众提供的网络信息服务，或支撑能源、交通、水利、金融、公共服务、电子政务等关键行业领域，一旦遭破坏、功能丧失或数据泄露，将严重危害国家安全、国计民生、公共利益的信息础设施。 保护对象 电信、广电、能源、金融、交通、水利、应急、卫健、社保、国防科技等行业领域，一旦遭破坏或功能丧失，将严重危及国家、经济安全及社会稳定、公众健康安全之业务，大致分类如下 公共服务：诸如党政机关、企事业单位、新闻等网站 民生服务：涵盖金融、电子政务、公共事业等 熊础生产：涉及能源、水利、交通、数据中心、广电等

关键信息基础设施保护 面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等关键行业运行的信息系统、工业控制系统等基础设施，在等保制度基础上，实施重点保护。

关保

“3保1评”之 关保：关键信息基础设施保护

6

5

4

3

1

2

密码产品应当选用国家密码管理局批准的产品

计算机病毒防护产品应选用取得计算机信息系统安全专用产品销售许可证的可靠产品

确需进口的，须提前向保密行政管理部门报备批准，并经安全保密检测。

涉密网络所用信息设备，须从国家主管部门发布的涉密专用名录或信创产品中选取。

涉密网络启用后，须受保密局安全保密风险评估，秘密、机密级每两年一次，绝密级每年一次。

新建涉密网络须经测评(国保局设或授权机构)、审批(地市及以上保密局)方可正式投运。

安全保密管理

产品选型与安全服务

安全保密产品选型 通用信息技术产品选型 安全保密产品部署与配置

管理机构 管理人员 管理制度 系统运行管理 运行维护管理

信息安全保密

身份鉴别 访问控制 密码措施 电磁泄漏发射防护 系统完整性校验 系统安全性能监测 安全审计 操作系统安全 数据库安全 边界安全防护

运行安全

备份与恢复 系统安全性保护 应急响应

环境安全 设备安全 介质安全

物理安全

分保的技术要求

系统废止 废止涉密系统须向保密部门备案，依规妥善处置涉密设备、产品及资料。

测评与检查 涉密系统运行后，须定期开展安全保密自查;每两年配合保密行政部门进行风险评估。

日常管理 日常管理酒盖基础要求、人员、环境设施及信息保密管理。

2

4

6

8

系统审批 涉密信息系统运行前，须经保密部门测评审批通过。

系统测评 系统工程竣工后，建设使用单位向当地保密测评中心及分中心申请完成系统测评。

方案设计 开展风险评估、设计方案，经专家论证，保密部门应参与其中。

7

5

3

工程实施 选择具备涉密资质的承建单位与工程监理单位，进一步细化各项涉密工程管理制度，全程监督工程实施情况。

1

系统定级 明确系统所处理信息的最高密级，确定系统保护等级。

分保的工作环节

绝密级

最强

最强

最强

机密级

较强

较强

较强

强

秘密级

强

强

信息安全保密

运行安全

物理安全

级别

涉密信息系统 由计算机及相关配套设备设施构成，依特定目标规则存储、处理、传输国密信息的系统或网络。 保护对象 涉国家秘密之信息系统，尤重党政、军队及军工单位 涉密系统分级保护 涉密信息系统的建设与使用单位，依分级保护办法及相关标准，对系统分等级防护，各级保密部门按保护等级监管，以保障系统与信息安全。

“3保1评”之分保：涉密信息系统分级保护

关保：关键信息基础设施保护

密评：商用密码应用安全评估

分保：涉密信息系统分级保护

分保：涉密信息系统分级保护

《中华人民共和国密码法》 第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。 《国家政务信息化项目建设管理办法》 第二十八条 第三款 对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

《中华人民共和国网络安全法》 第三十三条 国家对公共通信与信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业领域，及其他一旦受损、功能丧失或数据泄露，可能严重危及国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度基础上，实施重点保护。关键信息基础设施具体范围与保护办法，由国务院制定。 《中华人民共和国密码法》 第二十七条 依法律、行政法规及国家规定，须用商用密码保护的关键信息基础设施，其运营者应采用商用密码保护，并自行或委托商用密码检测机构开展应用安全性评估。商用密码应用安全性评估应与关键信息基础设施安全检测、网络安全等级测评制度相衔接，避免重复评估与测评。 《关键信息基础设施安全保护条例》 第六条 关键信息基础设施于等保制基础上，实施重点保护。

《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号，1994年) 《国家信息化领导小组关于强化信息安全保障之意见》(中办发〔2003〕27号) 《关于信息安全等级保护工作实施之意见》(公通字〔2004〕66号) 《信息安全等级保护管理办法》(公通字〔2007)43号) 《关于开展全国重要信息系统安全等级保护定级工作之通知》(公信安〔2007]861号) 《关于加强国家电子政务工程信息安全风险评估工作之通》(发改高技[2008]2071号)) 《网络安全法》2025年 第二十三条 国家施行网络安全等级保护制。网络运营者须依此制要求，履行以下安全保护职责，确保网络免受干扰、破坏或未授权访问，防止网络数据泄露、被窃取或篡改。

《国家保密法》(2024年) 第三十条 存、处国家秘密的计算机信息系统，依涉密程度实施分级保护。 《保密法实施条例》(2024年) 第三十二条 进一步细化涉密信息系统分级保护要求："涉密信息系统依涉密程度，分绝密、机密、秘密三级。机关、单位应按其存储、处理信息的最高密级确定保护等级，并依分级保护要求，采取相应安全保密防护举措。"

2、“3保1评”的法律法规依据

1、企业网络信息安全3保1评

密评

关保

等保

分保

商用密码应用安全评估 指对运用商用密码技术、产品及服务所建网络信息系统的密码应用，评估其合规、正确、有效性。

关键信息基础设施保护 面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等关键行业运行的信息系统、工业控制系统等基础设施，在等保制度基础上，实施重点保护。

网络安全等级保护 国家制定统一安全等级保护规范与标准，组织各方对信息系统分等级实施安全保护。

涉密信息系统分级保护 涉密信息系统建设使用单位依分级办法与标准，对系统分等级实施保护。