商用密碼應(yīng)用安全性評估(簡稱“密評”)，是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評估。

開展密評，是為了解決商用密碼應(yīng)用中存在的突出問題，為網(wǎng)絡(luò)和信息系統(tǒng)的安全提供科學(xué)評價(jià)方法，逐步規(guī)范商用密碼的使用和管理。從根本上改變商用密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保商用密碼在網(wǎng)絡(luò)和信息系統(tǒng)中有效使用，切實(shí)構(gòu)建起堅(jiān)實(shí)可靠的網(wǎng)絡(luò)安全密碼屏障。開展密評，是國家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求，是法定責(zé)任和義務(wù)。

《中華人民共和國密碼法》

第二十七條  法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復(fù)評估、測評。

《商用密碼應(yīng)用安全性評估管理辦法(試行)》

第三條  涉及國家安全和社會公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位(以下簡稱責(zé)任單位)應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評估。

重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng)。

《網(wǎng)絡(luò)安全等級保護(hù)條例》

第四十七條【非涉密網(wǎng)絡(luò)密碼保護(hù)】非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國家密碼管理法律法規(guī)和標(biāo)準(zhǔn)的要求，使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護(hù)，并使用國家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)。

主要系統(tǒng)有

基礎(chǔ)信息網(wǎng)絡(luò)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)。

重要信息系統(tǒng)：能源、教育、公安、測繪地理信息、社保、交通、衛(wèi)生計(jì)生、金融等涉及國計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)。

重要工業(yè)控制系統(tǒng)：核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)。

面向社會服務(wù)的政務(wù)信息系統(tǒng)：黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會服務(wù)的信息系統(tǒng)。

《中華人民共和國密碼法》

《商用密碼應(yīng)用安全性評估管理辦法(試行)》

《信息安全等級保護(hù)商用密碼管理辦法》

《信息安全等級保護(hù)商用密碼技術(shù)實(shí)施要求》

《信息安全等級保護(hù)商用密碼技術(shù)要求》

GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》

《信息系統(tǒng)密碼測評要求》

GM/T0054-2018 《信息系統(tǒng)密碼應(yīng)用基本要求》

總體要求是所有信息系統(tǒng)都需遵循的基本要求，包括密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)4個(gè)層面的相關(guān)要求，具體要求如下：

1、總體要求

密碼算法：使用的密碼算法應(yīng)當(dāng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求，重點(diǎn)關(guān)注密碼算法的合規(guī)性。

這三個(gè)層面分別對信息系統(tǒng)(等級保護(hù)1級到4級系統(tǒng))如何使用密碼提出了要求，要求強(qiáng)度使用應(yīng)、宜、可三個(gè)級別來表示。

《密碼法》第三十七條第一款

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評估的，由密碼管理部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第二十八條第三款

對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。

《商用密碼應(yīng)用安全性評估管理辦法(試行)》第二章第十條

關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng)，每年至少評估一次。

“密評”的實(shí)施流程主要包括密碼應(yīng)用方案評估、測評準(zhǔn)備、方案編制、現(xiàn)場測評、測評結(jié)論分析、密碼測評報(bào)告編制。