一、密评是什么？

密评是商用密码应用安全性评估的简称，是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。简单地说，就是对使用了商业密码的系统进行评估，从而确保其密码应用的合规、正确、有效。国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估工作，即密评工作。

二、什么是密码？

根据《中华人民共和国密码法》的规定，密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。举个例子，小张约小王去食堂吃饭，但是不想让别人知道，相互约定以“0”代表小张，“1”代表小王，“7”代表食堂，“9”代表吃饭，“0179”就代表了“小张约小王去食堂吃饭”这样的意思，这个过程中，数字和语义之间的替代就是最原始的一种“密码”。我们常在谍战影视剧作品中看到通过摩斯密码等方式传递情报的情节，其实正是密码的一种应用。

而生活中，我们常说的手机密码、银行卡密码这些，实际上应该被称为“口令”，是一种简单的认证方式，并不是严格意义上的“密码”。

三、商用密码指的是什么呢？

根据《中华人民共和国密码法》的规定，密码分为核心密码、普通密码和商用密码。

核心密码、普通密码用于保护国家秘密信息，本身也属于国家秘密，主要用于党和国家的一些重大活动，或是抢险救灾这类突发事件。

商用密码则用于保护不属于国家秘密的信息，是与老百姓生活息息相关的一类密码，广泛应用在金融、通信、公安、税务等国民经济发展和社会生产生活的众多领域。《商用密码管理条例》正是对这类密码的应用和管理进行规范的国家行政法规。

四、为什么要做商用密码应用安全性评估？

开展商用密码应用安全性评估，是为解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理，从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用。

相关法规政策要求：

《中华人民共和国密码法》第二十七条：法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施，其运营者应当使用密码进行保护，自行或者委托密码检测机构开展密码应用安全性评估。

《商用密码应用安全性评估管理办法(试行)》第十条：关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

《网络安全等级保护条例（征求意见稿）》第四十七条：第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估。

《国家政务信息化项目建设管理办法》第十五条：项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。第二十五条：项目建设单位提交验收申请报告时应当附上密码应用安全性评估报告等材料。

五、密评主要由哪些机构开展？

密码测评机构是经过国家密码管理部门认定、具有相关测试和评估能力的机构，可以受网络与信息系统责任单位的委托，开展密评工作。

六、密评实施的对象有哪些？

（1）基础信息网络电信网、广播电视网、互联网。

（2）重要信息系统能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。

（3）重要工业控制系统核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。

（4）面向社会服务的政务信息系统党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

七、商用密码应用安全性评估工作包括哪些重要内容？

密评工作主要有方案评估和系统评估两部分重要内容组成。

（1）信息系统规划阶段的密码应用方案评估：对于新建/改造信息系统，密码应用建设方案/改造方案，一般由责任单位组织商用密码从业单位编写。

包括：《密码应用解决方案》、《实施方案》和《应急处置方案》。责任单位编写密码应用建设方案/改造方案后，应委托测评机构对方案进行评估。

（2）信息系统建设完成后的信息系统商用密码应用安全性评估：依据GB/T 39786的技术要求和管理要求开展评估工作，系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。

测评机构完成系统评估后，出具评估报告。在密评活动结束30个工作日内，将评估结果报密码管理部门等相关部门备案。

八、密评的流程有哪些？

密评工作主要包括密码应用方案评估、测评准备、方案编制、现场测评、分析和报告编制五个环节。

（1）密码应用方案评估

密码应用方案评估是根据系统的定级情况，审查系统密码应用设计方案或系统安全设计方案中密码应用设计部分密码防护措施是否满足密码使用要求或规定。

（2）测评准备

在编制项目计划书时，被测评单位需要提供基本资料，如管理架构、技术体系、运行情况、各种密码安全管理制度及相关管理记录等，填写系统调查表，调查被测系统的基本信息、行业特征、密码管理策略、网络及设备部署情况等信息。以供测评人员和机构初步了解被测信息系统的实际情况。同时准备好相关测评工具，如漏扫工具、性能测试工具、协议分析工具等。

（3）方案编制

根据政策基本要求，首先需要确定测评对象和测评指标，然后要合理选择测试接入点，分析系统内部算法、密码协议应用的合规性和正确性，整理测评准备阶段中获取的信息系统相关资料，最后将绘制成密码测评方案，为现场测评提供基本的文档和指导方案。

（4）现场测评

开展访谈、文档审查、实地查看、工具测试等活动时，需要认真记录过程和结果。需要确认是否具备测评开展的条件，确保测评对象工作正常，系统处于相对良好的状况。测评结束后，需要确认测评工作是否对测评对象造成了影响，以及测评对象和系统是否工作正常。

（5）分析和报告编制

现场测评完成后，根据现场的测评结果记录进行分析，输出测评结果，并准备编制测评报告，包括单项测评结论、整体测评结论、风险分析结论及最终的评估结论。

九、不做密评或密评不通过会有什么影响？

《密码法》第三十七条第一款

关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码， 或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告； 拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款

对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码管理条例 》（修订草案征求意见稿）第五十八条

……或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

————————————————————————————  安证集团概述  ————————————————————————————

深圳市安证企业合规管理（集团）有限公司（以下简称“安证合规集团”）是“科技+法律”一体化网络安全合规解决方案提供商，业务范围涵盖网络安全服务、证据服务以及数据治理三大领域，具有丰富的IT合规咨询与评估、网络安全、证据服务、IT审计、安全培训以及法律服务等全方位合规服务经验，是集标准制定、前瞻性技术研究、合规管理平台研发及方案实现于一体的国内优选的IT合规服务企业。

多年来，安证合规集团始终坚持“责任、创新、进取”的企业精神，累计服务了政府、企事业单位、电信运营商、金融机构、大型民企等4000余家客户。积极参与社会公共安全公益服务，自主研发的多个平台分别入选国家工信部、广东省工信厅助力社会发展专项名录。多次参与国家重大活动网络安保工作，主要包括建党100周年网络安保活动、十八大、十九大、二十大、博鳌论坛、香港回归20周年庆/25周年庆、广交会以及部省市三级护网行动等重大活动，并获得相关部门的高度好评。其中，护网工作荣获“公安部护网优秀攻击团队”、“公安部网络安全管理优秀团队”的荣誉称号。