密评定义

密评即商用密码应用安全性评估，是指依据国家和行业相关标准规范，对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估。

密评依据

《密码法》

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础 设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《商用密码管理条例》

第三十八条　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。

第四十一条　网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级，确定商用密码的使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范。

《商用密码应用安全性评估管理办法》

第六条 法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统（以下简称重要网络与信息系统），其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

第七条 重要网络与信息系统规划阶段，其运营者应当依照相关法律法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统。重要网络与信息系统的运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的，不得作为商用密码保障系统的建设依据。

第九条 重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全。

第十七条　重要网络与信息系统的运营者违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定，有下列情形之一的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

（一）重要网络与信息系统规划阶段，未对商用密码应用方案进行商用密码应用安全性评估的；

（二）重要网络与信息系统建设阶段，未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的；

（三）重要网络与信息系统运行前，未开展商用密码应用安全性评估的；

（四）重要网络与信息系统运行前，未通过商用密码应用安全性评估且未进行改造的；

（五）重要网络与信息系统建成运行后，未定期开展商用密码应用安全性评估的；

（六）重要网络与信息系统建成运行后，未通过定期开展的商用密码应用安全性评估且未进行改造的；

（七）违反法律法规、标准规范要求开展商用密码应用安全性评估的；

（八）不符合相关要求自行开展商用密码应用安全性评估的。

第十八条　重要网络与信息系统的运营者违反本办法规定，有下列情形之一的，由密码管理部门责令改正；逾期未改正或者改正后仍不符合要求的，处1万元以上10万元以下罚款，对直接负责的主管人员处5000元以上5万元以下罚款：

（一）对商用密码应用安全性评估结果施加不当影响的；

（二）未为商用密码应用安全性评估活动提供必要支持的；

（三）未按照要求进行商用密码应用安全性评估结果备案的。

《国家政务信息化项目建设管理办法》

第十五条　项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。

第三十条第三款 各部门应当严格遵守有关保密等法律法规规定，构建全方位、多层次、一致性的防护体系，按要求采用密码技术，并定期开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

《关键信息基础设施安全保护条例》

第四十二条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。

密评对象

密评的对象是指采用商用密码技术、产品和服务集成建设的网络与信息系统，主要包括以下几类：

基础信息网络

如电信网络、广播电视网、互联网等，这些网络是信息传输和交换的基础平台，承载着大量的重要数据和业务，密评可保障网络通信的安全和稳定。

涉及国计民生和基础信息资源的重要信息系统

涵盖能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等领域的信息系统。例如金融信息系统涉及大量资金交易和客户敏感信息，能源信息系统关乎国家能源供应和安全，对这些系统进行密评至关重要。

重要工业控制系统

包括核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统。这些系统的安全运行直接关系到国家的工业生产、基础设施稳定以及社会生活的正常运转，密评可防止其遭受网络攻击导致生产事故或基础设施瘫痪。

面向社会服务的政务信息系统

指党政机关和使用财政性资金的事业单位、团体组织使用的面向社会服务的信息系统，如政务审批系统、公共服务平台等，密评有助于保障政务信息的安全，提高政务服务的质量和公信力。

关键信息基础设施

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，是密评的重点对象。

网络安全等级保护第三级及以上的信息系统

根据信息系统在国家安全、经济建设、社会生活中的重要程度等因素，信息系统安全等级保护分为五级，三级及以上系统受到破坏后会对社会秩序、公共利益甚至国家安全造成严重损害，需要通过密评确保其密码应用安全。

密评内容

 依据《GB/T 39786-2021信息系统密码应用基本要求》、《GB/T 43206-2023 信息安全技术 信息系统密码应用测评要求》、《GM/T 0116-2021 信息系统密码应用测评过程指南》等标准和要求，对密码算法、密码技术、密码产品、密码服务、密钥管理等通用要求，以及物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密码应用管理（制度、人员、应急、实施）等方面进行全维度合规性、正确性和有效性评估检测，编制密码应用安全性评估报告，根据测评结果，给出整改意见；协助进行备案工作等；覆盖网络和信息系统规划、建设、运行全生命周期。

服务标准

GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》

GB/T 43206—2023 《信息安全技术 信息系统密码应用测评要求》

GM/T 0116-2021 《信息系统密码应用测评过程指南》

服务资质