网络安全等级保护（等保）

1、介绍：是中国网络安全领域的基本制度和基本国策。它对网络和信息系统进行分等级保护、分等级监管。

2、核心流程：定级 -> 备案 -> 建设整改 -> 等级测评 -> 监督检查。其中，二级及以上系统需要定期（通常三级及以上每年一次）由合规的测评机构进行“等级测评”。

3、关注点：全面性。覆盖技术（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心）和管理（安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理）两个维度，共十个方面。

4、一句话总结：“基础合规”。是所有网络运营者必须履行的法律义务，是网络安全工作的“地基”。

商用密码应用安全性评估（密评）

1、介绍：在等保基础上，专门对密码技术的应用合规性、正确性和有效性进行评估。

2、核心依据：GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求，以及从管理制度、人员管理、建设运行、应急处置等四个方面提出了密码应用管理要求。

3、关注点：密码。检查系统是否用了密码？用的密码算法是否合规（如SM2/SM3/SM4）？密码用的对不对？密钥管理是否安全？

4、与等保关系： 密评是等保测评中的重要组成部分。等保要求“采用密码技术”，而密评则详细规定了“如何正确地采用”。等保三级及以上系统通过测评后，必须进行密评。

5、一句话总结： “专项深化”。是等保在密码应用领域的深化和专项检查，保障安全技术的“核心强度”。

关键信息基础设施安全检测评估（安评）

1、介绍：针对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统（即CII）进行的更高层次、更深入的安全评估。

2、关注点： 实战对抗和能力导向。不仅检查静态的合规项，更注重评估应对高级持续性威胁（APT）、实战攻防的能力。关注供应链安全、数据安全、业务连续性恢复能力等。

3、与等保关系： 等保是基础，安评是升级。所有CII都必须先完成等保保护。可以将安评理解为在等保基础上，对“关键中的关键”设施提出的更严格、更聚焦、更实战化的安全要求。

4、一句话总结： “实战演练”。面向最关键的目标，模拟真实攻击者，检验实际防御和响应能力。

信息安全风险评估（风评）

1、介绍：一种基础的安全风险管理方法和工具，而并非特指某一项合规制度。它是等保、密评、安评等工作的重要技术支撑和输入。

2、核心流程： 资产识别 -> 威胁识别 -> 脆弱性识别 -> 风险分析 -> 风险处置。

3、关注点： 风险的量化和管理。帮助组织从业务角度出发，识别最重要的资产和最可能发生的风险，从而将有限的资源投入到最需要保护的地方。

四者关系总结

风评是底层方法论，贯穿于所有安全工作中。

等保是国家基础性、普适性的合规要求，是所有工作的起点和框架。

密评是在等保框架下，对密码技术应用情况的专项合规检查。

安评是在等保基础上，对最关键设施进行的更高阶、更实战化的安全能力评估。