不做等保测评能直接做密码评估吗?二者有什么关联？

不做等保测评，在一定条件下也可以直接进行密码评估，但这两者并非完全独立，而是有一定的关联性，以下是对这两者的详细分析：

一、定义与目的

1.等保测评（网络安全等级保护测评）：是测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。等级测评的目的是确认信息系统的安全保护等级，并检测其是否符合相应的安全保护要求。

2.密码评估（商用密码应用安全性评估）：是对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估。商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。密码评估的目的是确保信息系统中的密码应用符合国家的法律法规和标准要求，提升信息系统的安全性。

二、关联性

1.对象一致性：等保测评与商用密码应用安全性评估的测评对象都是已定级的信息系统。

2.过程一致性：两者都分为测评准备、方案编制、现场测评、分析与报告编制等阶段。

3.测评方法一致性：两者都通过访谈相关工作人员、安全测试、查看文档等方式对系统进行测评，并且在身份鉴别、数据传输和存储等测评内容方面有所交集。

三、差异性

1.测评指标：等级测评和商用密码应用安全性评估的测评指标要求不同，具有差异性。

2.测评报告：等级测评与商用密码应用安全性评估的分值计算依据不同的公式，且分数合格线不同。等级测评70分达到合格线，商用密码应用安全性评估60分达到合格线。等级测评结论分为优、良、中、差，密码应用安全性评估的测评结论则分为符合、基本符合、不符合等。

四、直接进行密码评估的条件

       未做等保测评也可以直接做密码评估，前提是做了定级备案，确认了系统的等级、是二级还是三级，然后根据二级、三级的密评指标进行测评，测评标准为GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》、GBT43206-2023《信息安全技术 信息系统密码应用测评要求》。

       虽然等保测评和密码评估有一定的关联性，但两者并非必须先后进行。在某些情况下，如果信息系统已经满足了等级测评的基本要求，并且主要关注的是密码应用的安全性，那么可以直接进行密码评估。然而，如果信息系统尚未进行等级测评或者等级测评结果不符合要求，那么直接进行密码评估可能无法全面反映信息系统的安全性状况。

       简单的说，等保测评侧重于网络安全领域，密评侧重于密码安全领域，密码安全属于网络安全的一部分，密评是在等保测评的基础上，加深对密码安全的测评。

         综上所述，不做等保测评在一定条件下也可以直接进行密码评估，但两者并非完全独立，而是有一定的关联性。在实际操作中，应根据信息系统的具体情况和安全性需求来选择合适的测评方式。同时，为了确保信息系统的安全性，建议定期进行等保测评和密码评估。