密评合规是专项评估合规,聚焦密码应用安全,评估密码算法、密码产品、密钥管理和密码服务是否合规、正确、有效;等保测评合规则是全面评估合规,覆盖物理环境、网络安全、主机安全、应用安全、数据安全及安全管理等整体网络安全层面。
密评合规的法律依据主要是《密码法》《商用密码管理条例》;等保测评合规的法律依据主要是《网络安全法》《信息安全等级保护管理办法》。
密评由国家密码管理部门统一组织实施,由经国家密码管理局认定的商用密码检测机构承担;等保测评由公安部门指导监督,由网络安全服务机构承担。
密评合规与等保测评合规共同构成网络安全双重防线,二者存在法规衔接、评估衔接和内容衔接。对于使用商用密码的等保三级及以上系统,运营者应当分别完成年度等保测评和年度密评,且密评中涉及密码应用的部分与等保测评中的密码内容存在重叠,应当避免重复评估、测评。《密码法》明确规定,密评应当与关键信息基础设施安全检测评估、等保测评制度相衔接。