国密合规要求有哪些？哪些行业必须进行国密改造？

1. 法律层级要求

国密合规要求已形成以《密码法》为核心、行政法规和部门规章为支撑的完整法律体系：

• 《密码法》（2020年）：要求关键信息基础设施必须使用商用密码，并开展密评。
• 《网络安全法》（2017年施行，2025年修订）：明确关键信息基础设施运营者应当使用商用密码。
• 《数据安全法》《个人信息保护法》：对重要数据和核心数据的加密保护提出要求。

2. 必须改造的行业

以下行业依法必须进行国密改造：

• 金融：银行卡系统、移动支付、证券交易平台等。
• 政务：所有国家政务信息化项目。
• 电信：基础电信网络、域名系统。
• 能源：电力系统、油气管道工控系统。
• 交通：铁路、民航、公路水路重要信息系统。
• 医疗：重要数据处理系统（含健康医疗数据），依据《网络数据安全风险评估办法》（2026年8月20日施行）。
• 教育：等保三级及以上教育信息系统。

3. 评估周期

关键信息基础设施和等保三级及以上系统，必须每年至少开展一次密评。重要数据处理者依据《网络数据安全风险评估办法》，应当每年度开展一次数据安全风险评估，涉及密码技术措施的需同步开展密评。