密評定義

密評即商用密碼應用安全性評估，是指依據國家和行業(yè)相關標準規(guī)范，對采用商用密碼技術、產品和服務集成建設的網絡和信息系統(tǒng)密碼應用的合規(guī)性、正確性和有效性進行評估。

密評依據

《密碼法》

第二十七條 法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎 設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

第三十七條 關鍵信息基礎設施的運營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《商用密碼管理條例》

第三十八條　法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設、同步運行商用密碼保障系統(tǒng)，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

前款所列關鍵信息基礎設施通過商用密碼應用安全性評估方可投入運行，運行后每年至少進行一次評估，評估情況按照國家有關規(guī)定報送國家密碼管理部門或者關鍵信息基礎設施所在地省、自治區(qū)、直轄市密碼管理部門備案。

第四十一條　網絡運營者應當按照國家網絡安全等級保護制度要求，使用商用密碼保護網絡安全。國家密碼管理部門根據網絡的安全保護等級，確定商用密碼的使用、管理和應用安全性評估要求，制定網絡安全等級保護密碼標準規(guī)范。

《商用密碼應用安全性評估管理辦法》

第六條 法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的網絡與信息系統(tǒng)（以下簡稱重要網絡與信息系統(tǒng)），其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設、同步運行商用密碼保障系統(tǒng)，并定期開展商用密碼應用安全性評估。

第七條 重要網絡與信息系統(tǒng)規(guī)劃階段，其運營者應當依照相關法律法規(guī)和標準規(guī)范，根據商用密碼應用需求，制定商用密碼應用方案，規(guī)劃商用密碼保障系統(tǒng)。重要網絡與信息系統(tǒng)的運營者應當自行或者委托商用密碼檢測機構對商用密碼應用方案進行商用密碼應用安全性評估。商用密碼應用方案未通過商用密碼應用安全性評估的，不得作為商用密碼保障系統(tǒng)的建設依據。

第九條 重要網絡與信息系統(tǒng)建成運行后，其運營者應當自行或者委托商用密碼檢測機構每年至少開展一次商用密碼應用安全性評估，確保商用密碼保障系統(tǒng)正確有效運行。未通過商用密碼應用安全性評估的，運營者應當進行改造，并在改造期間采取必要措施保證網絡與信息系統(tǒng)運行安全。

第十七條　重要網絡與信息系統(tǒng)的運營者違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法規(guī)定，有下列情形之一的，由密碼管理部門責令改正，給予警告；拒不改正或者有其他嚴重情節(jié)的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款：

（一）重要網絡與信息系統(tǒng)規(guī)劃階段，未對商用密碼應用方案進行商用密碼應用安全性評估的；

（二）重要網絡與信息系統(tǒng)建設階段，未按照通過商用密碼應用安全性評估的商用密碼應用方案建設商用密碼保障系統(tǒng)的；

（三）重要網絡與信息系統(tǒng)運行前，未開展商用密碼應用安全性評估的；

（四）重要網絡與信息系統(tǒng)運行前，未通過商用密碼應用安全性評估且未進行改造的；

（五）重要網絡與信息系統(tǒng)建成運行后，未定期開展商用密碼應用安全性評估的；

（六）重要網絡與信息系統(tǒng)建成運行后，未通過定期開展的商用密碼應用安全性評估且未進行改造的；

（七）違反法律法規(guī)、標準規(guī)范要求開展商用密碼應用安全性評估的；

（八）不符合相關要求自行開展商用密碼應用安全性評估的。

第十八條　重要網絡與信息系統(tǒng)的運營者違反本辦法規(guī)定，有下列情形之一的，由密碼管理部門責令改正；逾期未改正或者改正后仍不符合要求的，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5000元以上5萬元以下罰款：

（一）對商用密碼應用安全性評估結果施加不當影響的；

（二）未為商用密碼應用安全性評估活動提供必要支持的；

（三）未按照要求進行商用密碼應用安全性評估結果備案的。

《國家政務信息化項目建設管理辦法》

第十五條　項目建設單位應當落實國家密碼管理有關法律法規(guī)和標準規(guī)范的要求，同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)并定期進行評估。

第三十條第三款 各部門應當嚴格遵守有關保密等法律法規(guī)規(guī)定，構建全方位、多層次、一致性的防護體系，按要求采用密碼技術，并定期開展密碼應用安全性評估，確保政務信息系統(tǒng)運行安全和政務信息資源共享交換的數(shù)據安全。

《關鍵信息基礎設施安全保護條例》

第四十二條 運營者對保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作不予配合的，由有關主管部門責令改正；拒不改正的，處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款；情節(jié)嚴重的，依法追究相應法律責任。

密評對象

密評的對象是指采用商用密碼技術、產品和服務集成建設的網絡與信息系統(tǒng)，主要包括以下幾類：

基礎信息網絡

如電信網絡、廣播電視網、互聯(lián)網等，這些網絡是信息傳輸和交換的基礎平臺，承載著大量的重要數(shù)據和業(yè)務，密評可保障網絡通信的安全和穩(wěn)定。

涉及國計民生和基礎信息資源的重要信息系統(tǒng)

涵蓋能源、教育、公安、測繪地理、社保、交通、衛(wèi)生計生、金融等領域的信息系統(tǒng)。例如金融信息系統(tǒng)涉及大量資金交易和客戶敏感信息，能源信息系統(tǒng)關乎國家能源供應和安全，對這些系統(tǒng)進行密評至關重要。

重要工業(yè)控制系統(tǒng)

包括核設施、航空航天、先進制造、石油石化、油氣管網、電力系統(tǒng)、交通運輸、水利樞紐、城市設施等工業(yè)控制系統(tǒng)。這些系統(tǒng)的安全運行直接關系到國家的工業(yè)生產、基礎設施穩(wěn)定以及社會生活的正常運轉，密評可防止其遭受網絡攻擊導致生產事故或基礎設施癱瘓。

面向社會服務的政務信息系統(tǒng)

指黨政機關和使用財政性資金的事業(yè)單位、團體組織使用的面向社會服務的信息系統(tǒng)，如政務審批系統(tǒng)、公共服務平臺等，密評有助于保障政務信息的安全，提高政務服務的質量和公信力。

關鍵信息基礎設施

公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，是密評的重點對象。

網絡安全等級保護第三級及以上的信息系統(tǒng)

根據信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度等因素，信息系統(tǒng)安全等級保護分為五級，三級及以上系統(tǒng)受到破壞后會對社會秩序、公共利益甚至國家安全造成嚴重損害，需要通過密評確保其密碼應用安全。

密評內容

 依據《GB/T 39786-2021信息系統(tǒng)密碼應用基本要求》、《GB/T 43206-2023 信息安全技術 信息系統(tǒng)密碼應用測評要求》、《GM/T 0116-2021 信息系統(tǒng)密碼應用測評過程指南》等標準和要求，對密碼算法、密碼技術、密碼產品、密碼服務、密鑰管理等通用要求，以及物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據安全、密碼應用管理（制度、人員、應急、實施）等方面進行全維度合規(guī)性、正確性和有效性評估檢測，編制密碼應用安全性評估報告，根據測評結果，給出整改意見；協(xié)助進行備案工作等；覆蓋網絡和信息系統(tǒng)規(guī)劃、建設、運行全生命周期。

服務標準

GB/T 39786—2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》

GB/T 43206—2023 《信息安全技術 信息系統(tǒng)密碼應用測評要求》

GM/T 0116-2021 《信息系統(tǒng)密碼應用測評過程指南》

服務資質