CC认证、等级保护(等保)和评测三者都是信息安全领域的重要制度,但它们的出发点、适用范围、技术依据和监管体系完全不同,下面用一张“关系图+对比表”帮你理清它们的区别与联系:
✅ 一句话先区分
| 名称 | 一句话定位 |
|---|---|
| CC认证 | 国际/国内对信息安全产品的“质量合格证”(EAL1-7级)。 |
| 等级保护(等保) | 中国对信息系统的“治安许可证”(1-5级)。 |
| 评测 | 是上述两者的“体检”手段,不是独立制度。 |
🔍 三者的核心区别
| 维度 | CC认证(Common Criteria) | 等级保护(等保2.0/3.0) | 评测(测评机构) |
|---|---|---|---|
| 对象 | 信息安全产品(如防火墙、芯片、操作系统) | 信息系统(如政务云、医疗平台、工业控制) | 既测产品也测系统,是手段而非制度 |
| 依据标准 | 国际ISO/IEC 15408 + 中国GB/T 18336 | 中国GB/T 22239-2019(等保2.0)系列 | 依据CC或等保标准,出具测评报告 |
| 分级方式 | EAL1-EAL7(越高越严格) | 1-5级(越高越关键) | 无级别,只出“通过/不通过”或分数 |
| 强制性 | 国内销售的部分产品强制(如密码产品) | 中国境内系统强制(网络安全法) | 被动配合,无独立强制力 |
| 监管机构 | 国家密码管理局(国密)+ 四部委联合 | 公安部(网安)+ 行业主管 | 公安部/国密局认可的测评机构 |
| 证书形式 | 《信息技术产品安全测评证书》+ EAL级别 | 《等级保护测评报告》+ 备案证明 | 只有报告,无证书 |
🔗 它们的真实关系(图解)
┌──────────────┐ 测评机构执行 ┌──────────────┐
│ CC认证 │◀───────评测────────▶│ 等保测评 │
│ (产品证书) │ │ (系统报告) │
└──────────────┘ └──────────────┘
▲ ▲
│ │
│ │
国密局/四部委 公安部网安
(产品准入) (系统合规)- 评测是交集:同一个测评机构(如中国信息安全测评中心、公安部三所等)可能既做CC也做等保,但报告用途不同。
- 互不替代:
- 拿了CC证书(如EAL4+)的防火墙,不能替代等保三级测评。
- 系统过了等保三级,不意味着其中的产品自动有CC认证。
🎯 实务中的常见误区
| 误区 | 正解 |
|---|---|
| “我们系统过了等保三级,所以服务器自带CC认证” | ❌ 等保测系统,不发证给硬件。 |
| “买了EAL5的加密卡,等保一定过” | ❌ 等保还看拓扑、制度、运维、渗透测试等。 |
| “评测公司说帮我们‘同时做CC和等保’,可以拿双证” | ⚠️ 只能拿产品CC证+系统等保报告,不存在“双证”合一。 |
✅ 总结口诀
“CC管产品,等保管系统;评测是体检,不是户口本。”
微信号:15321396264
添加微信好友, 获取更多信息
复制微信号
- 做产品→走CC认证(国密目录内强制)。
- 做系统→走等保(中国境内强制)。
- 评测只是手段,报告给谁看,决定了它属于哪条赛道。
需要我帮你列一个“某省政务云”同时做CC和等保的时间线+机构清单吗?
以上是对“CC认证、等级保护及评测关系”的简单介绍,如果您有任何疑问,可以添加我们微信或者拨打电话:15321396264,免费咨询,专人1对1解答,北京壹点壹线咨询有限公司专业办理增值电信业务经营许可证、网络文化经营许可证、工商注册、知识产权等一站式企业服务平台,竭诚为您服务。