商用密码应用安全性评估(简称"密评")是指在采用商用密码技术、产品和服务集成建设的网络和信息系统(简称"信息系统")中,对其密码应用的合规性、正确性和有效性等进行评估的活动。密评工作的责任主体是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位。
密评对象包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。根据《密码法》第二十七条的规定,关键信息基础设施必须依法使用商用密码进行保护并开展商用密码应用安全性评估。
密评工作主要依据以下国家标准:GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》规定了信息系统从第一级到第四级的密码应用基本要求,是密评最重要的技术标准;GB/T 37092-2018《信息安全技术 密码模块安全要求》规定了密码模块的安全要求。密评实施过程中还参考GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》等行业标准。
密评采取打分制,通过标准为:总分要求为应用技术要求70分+安全管理要求30分,总分不低于60分;高风险项要求为无高风险项(依据《信息系统密码应用高风险判定指引》);单项要求为各项测评指标需达到基本合规要求。密评贯穿关键信息基础设施的全生命周期:规划阶段对应用方案评估,运行前进行投入运行评估,运行后每年至少开展一次定期评估。
密评主要从以下维度开展评估:总体要求评估,包括密码应用总体架构设计的合理性;物理和环境安全评估,包括机房记录完整性保护等;网络和通信安全评估,包括身份可信、机密性、完整性等;设备和计算安全评估,包括运维认证、远程通道、日志防篡改等;应用和数据安全评估,包括认证、传输存储加密、不可否认等;密钥管理安全评估,包括生成至销毁的全生命周期管理;安全管理体系评估,包括制度、人员、应急管理。
根据《密码法》的相关规定,未按规定开展密评的法律后果包括:责令改正,由密码管理部门责令改正,给予警告;罚款,拒不改正或情节严重的,对运营者处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款;停业整顿,可责令停业整顿;信用惩戒,纳入信用记录,实施联合惩戒。
2026年8月20日起施行的《网络数据安全风险评估办法》首次在部门规章层面将密评与重要数据安全评估作出关联要求。该办法第二十三条规定:涉及重要数据加密等技术措施的,应当按照国家密码相关法律法规要求开展商用密码应用安全性评估。这意味着重要数据处理者在开展年度数据安全风险评估时,若采用加密技术保护重要数据,需同步开展密评工作。