GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》是密评(商用密码应用安全性评估)的核心标准,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理安全、安全管理体系六个维度对信息系统密码应用提出要求。系统通过密评的条件是总分不低于 60 分且不存在高风险项。
《关键信息基础设施商用密码使用管理规定》(2025 年 8 月 1 日施行)明确规定:被认定为关键信息基础设施的系统,运行后须每年至少开展一次密评;未通过评估的系统须进行改造,改造期间不得投入运行。金融、能源、交通、政务等行业的核心业务系统均在此范围内。
《网络数据安全风险评估办法》(2026 年 8 月 20 日起施行)第二十三条明确规定:涉及重要数据加密等技术措施的,应当按照国家密码相关法律、行政法规要求开展商用密码应用安全性评估。这意味着重要数据处理者的年度数据安全风险评估,若涉及加密技术措施,必须同步开展密评工作。
销售或提供商用密码产品和服务,应当依法办理商用密码认证(如 SRRC 认证、商密产品型号证书)。使用未经国家密码管理局认证的密码产品(如未获商密资质的 SSL 网关、密码机)建设的系统,在密评中将被判定为不合规。