根据《密码法》第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,并委托商用密码检测机构开展商用密码应用安全性评估。关键信息基础设施覆盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。
等保三级及以上且涉及商用密码的系统,必须纳入密评合规范围。密评的密码应用等级一般与等保级别对应确定,即等保定级为第三级的系统应遵循GB/T 39786-2021第三级密码应用基本要求,以此类推。
党政机关和使用财政性资金的事业单位、团体组织使用的面向社会服务的政务信息系统,依据《国家政务信息化项目建设管理办法》的规定,必须将密码应用方案评估和安全性评估作为项目立项和验收的必备条件。
基础信息网络(电信网、广播电视网、互联网)、重要工业控制系统(核设施、石油石化、电力系统、交通运输、水利枢纽、城市设施等)、涉及国计民生和基础信息资源的重要信息系统(教育、社保、交通、卫生计生、金融等),均属于需满足密评合规要求的范畴。
密评合规是专项评估合规,聚焦密码应用安全,评估密码算法、密码产品、密钥管理和密码服务是否合规、正确、有效;等保测评合规则是全面评估合规,覆盖物理环境、网络安全、主机安全、应用安全、数据安全及安全管理等整体网络安全层面。
密评合规的法律依据主要是《密码法》《商用密码管理条例》;等保测评合规的法律依据主要是《网络安全法》《信息安全等级保护管理办法》。
密评由国家密码管理部门统一组织实施,由经国家密码管理局认定的商用密码检测机构承担;等保测评由公安部门指导监督,由网络安全服务机构承担。
密评合规与等保测评合规共同构成网络安全双重防线,二者存在法规衔接、评估衔接和内容衔接。对于使用商用密码的等保三级及以上系统,运营者应当分别完成年度等保测评和年度密评,且密评中涉及密码应用的部分与等保测评中的密码内容存在重叠,应当避免重复评估、测评。《密码法》明确规定,密评应当与关键信息基础设施安全检测评估、等保测评制度相衔接。
判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求;使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。
判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确。包括标准密码算法和协议是否按照相应国家和行业标准正确设计和实现;自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求;密码产品和服务的部署和应用是否正确。
判定信息系统中实现的密码保障系统是否在实际运行过程中发挥了效用,是否满足了信息系统的安全需求。具体检查密码保障系统是否发挥了保密性、完整性、真实性和不可否认性的保护功能。
密评合规覆盖五个评估层面:物理和环境安全(门禁系统身份鉴别、监控记录完整性)、网络和通信安全(通信身份鉴别、数据传输机密性和完整性)、设备和计算安全(设备身份鉴别、日志完整性、程序完整性)、应用和数据安全(应用身份鉴别、数据存储传输机密性和完整性、不可否认性),以及密钥管理(密钥全生命周期安全)。
评估密码安全管理制度的建立与发布、关键岗位人员管理(背景调查、技能考核、定期培训)、密码保障系统的建设运行管理、密码应用安全事件的应急处置预案和演练等。
项目启动,明确测评目标、范围和依据标准;收集被测系统的相关资料,包括系统架构、密码应用方案、管理制度等;准备测评工具、检查表单和记录表格。
确定测评对象,明确系统边界、网络边界和密码产品边界;依据GB/T 39786-2021确定各层面的测评指标;确定现场测评的具体检查点和测试方法,编制详细的测评方案。
严格按照测评方案实施现场测评,通过访谈、文档审查、配置检查、工具测试等方式获取证据;规范、准确、完整地记录测评结果;识别密码应用中的安全隐患和不合规项。
对现场测评获取的证据进行综合分析,判定各项指标是否符合标准要求;编制《商用密码应用安全性评估报告》,详细记录测评过程和发现的问题;针对不合规项提出具体整改建议。
在密评活动结束后30个工作日内,将评估结果报密码管理部门等相关部门备案;三级及以上系统还需到当地公安机关进行备案;备案材料包括密评报告、密评合同等。
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》是最重要的密评技术标准,规定了信息系统从第一级到第四级的密码应用基本要求。GB/T 37092-2018《信息安全技术 密码模块安全要求》规定了密码模块的安全要求。
GM/T 0115-2021《信息系统密码应用测评要求》对GB/T 39786-2021进行细化和补充,规定了不同等级密码应用的测评要求;GM/T 0116-2021《信息系统密码应用测评过程指南》规定了密评的实施过程规范;GM/T 0133-2024《关键信息基础设施密码应用要求》专门针对关键信息基础设施的密码应用提出要求,于2025年7月1日起实施。
《信息系统密码应用高风险判定指引》用于判定密评中的高风险项;《商用密码应用安全性评估量化评估规则》用于量化评分;《信息系统密码应用测评要求》和《测评过程指南》为测评实施提供操作规范。
《密码法》奠定了密评制度的法律基础;《商用密码管理条例》(2023年修订,国务院令第760号)明确了密评的具体制度要求;《关键信息基础设施安全保护条例》对关基的密码保护提出要求;《关键信息基础设施商用密码使用管理规定》(2025年8月1日起施行)进一步细化关基密码使用管理。
关键信息基础设施、等保三级及以上系统、政务信息系统以及金融等行业的核心业务系统,必须使用国家密码管理局批准的国密算法。新系统应优先采用国密算法,存量系统应制定国密算法迁移改造计划并逐步完成。
密评合规要求使用以下国密算法:SM2椭圆曲线公钥密码算法(用于数字签名、密钥交换、公钥加密,密钥长度256位);SM3密码杂凑算法(用于数据完整性校验、数字签名中的哈希计算);SM4分组密码算法(用于数据加密,支持ECB、CBC、GCM等模式);SM9标识密码算法(适用于物联网、移动互联网等场景)。HTTPS通信还需使用国密SSL协议(TLCP协议)。
禁止使用MD5、SHA-1等安全性不足的哈希算法;禁止使用DES、3DES、RC4等安全性不足的对称加密算法;禁止使用RSA-1024等密钥长度不足的非对称加密算法;禁止使用未经国家密码管理局批准的自研算法或改编算法。
验证国密算法的实现是否符合GM/T 0002至GM/T 0006系列国家标准;验证使用的密码模块是否通过国家密码管理局检测认证并符合GM/T 0028《密码模块安全技术要求》;验证使用的密码产品是否具有商用密码产品认证证书。
云上系统与传统物理部署系统在密评合规方面面临不同挑战:云平台底层密码基础设施由云服务商提供,云上应用则涉及运营者自身的密码应用改造,需要明确区分云平台层和用户应用层的评估责任。密评要求对云平台和云上应用分别或组合进行评估,并可复用云平台已通过的密评结论。
云服务商负责保障云平台自身的密码应用合规性,包括云平台密码算法、密钥管理体系、密码产品资质等;云上应用的运营者负责自建应用层面的密评合规改造,包括应用身份鉴别、数据加密存储、传输加密等。若云平台已通过密评,云上应用可适当复用相关测评结论,但应用层的密码合规仍需独立评估。
云上系统应优先选择已通过国密认证的云密码产品和服务来构建密码保障体系,减少自研开发工作量。在密码产品选型方面,建议选择提供国密算法支持且具备国家密码管理局认证资质的云密码产品,如云加密服务、密钥管理服务、国密SSL证书服务等,以降低合规风险和改造成本。当前,腾讯云等主流云服务商已推出覆盖密码应用全场景的合规产品体系,可帮助用户在云上高效实现密评合规。
密钥生成使用的随机数发生器必须经国家密码管理部门核准;密钥应在符合GB/T 37092的密码产品内部产生;密钥应具备足够的随机性,具备检查和剔除弱密钥的能力;应记录密钥种类、长度、拥有者、使用起止时间等关联信息。
密钥(除公钥外)必须以密文形式存储,位于受保护的安全区;密钥加密密钥应存储在符合GM/T 0028的二级以上密码模块中;必须采取严格的安全防护措施防止密钥被非法获取;密钥不得以明文方式出现在密码模块之外。
密钥传递过程中必须使用密码技术保护其机密性、完整性与真实性;应具备抗截取、假冒、篡改、重放等攻击的能力;应对密钥分发的发送方和接收方进行身份鉴别。
密钥应按明确用途正确使用,加密密钥与签名密钥必须严格分离;密钥泄露时应立即停止使用并启动应急处置;应按照密钥更换周期要求进行轮换;密钥销毁应具备不可恢复性,确保销毁后无法通过任何手段恢复。
包括信息系统总体描述、网络拓扑图、系统定级备案材料(等保定级报告、备案证明)、系统所承载的业务说明等。这些材料用于评估机构了解系统边界、评估范围和密码应用场景。
《商用密码应用建设方案》是密评合规的核心文件之一,需依据GB/T 39786-2021编写,明确系统的密码应用需求、密码产品选型、密钥管理体系设计等内容,并经过专家评审或测评机构评估。对于新建系统,方案评估结果是项目立项的重要依据。
所使用的密码产品应具有国家密码管理局颁发的商用密码产品认证证书;密码模块应提供符合GM/T 0028的安全等级证明;加密机、签名验签服务器等硬件密码设备应提供相应的检测报告和合格证明。
包括密码安全管理制度、密钥管理制度、密码操作流程规范、密码应用安全事件应急处置预案、密码设备运维管理制度、人员管理制度(含关键岗位职责、背景审查、技能培训记录)等。
密评机构必须经国家密码管理局认定并依法取得商用密码检测机构资质。未经认定的机构出具的评估报告不具备法律效力,不能作为通过密评合规的证明。国家密码管理局定期公布商用密码检测机构目录,企业应在此目录范围内选择。
企业选择密评机构时应重点关注以下方面:机构是否在最新公布的国家密码管理局认定名单中;机构是否具备相应行业或领域的密评经验(如金融、政务、能源等有行业特殊性);机构的排期和响应时效是否满足项目进度需求;机构是否能够提供评估后的整改咨询和复评支持。
运营者自主选择具备资质的密评机构并签订委托合同;机构依据GB/T 39786-2021等标准开展全流程评估并出具测评报告;运营者将评估报告报密码管理部门备案,并根据评估结果进行整改或申报通过。
根据《密码法》第三十七条规定,关键信息基础设施的运营者未按照要求使用商用密码,或者未按规定开展密评的,由密码管理部门责令改正,给予警告;拒不改正或者情节严重的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
根据《国家政务信息化项目建设管理办法》,未通过密评的政务信息化项目不得通过项目验收,不得投入使用。对于涉及财政性资金的信息化项目,密码应用方案评估结果和安全性评估结果是项目立项和验收的必备材料,未通过密评将直接影响项目审批和资金拨付。
未满足密评合规要求可能导致系统被责令停止运行、停业整顿;相关违规信息可能被纳入信用记录并实施联合惩戒;在发生网络安全事件时,未依法履行密码保护义务可能加重企业法律责任。
法律法规并未对所有企业"一刀切"要求做密评,而是以系统的重要性为判定标准。如果中小企业运营的系统属于关键信息基础设施、等保三级及以上信息系统、政务信息系统或重要行业领域系统,则同样必须满足密评合规要求。
中小企业在以下场景需要关注密评合规:承接政务信息化项目或使用财政性资金建设的信息化系统;作为关键信息基础设施供应链企业,其系统涉及关基的密码应用环节;建设的信息系统被定级为等保三级及以上;属于金融、医疗、教育等受行业监管的领域。
对于尚未达到密评强制要求的中小企业,建议参照GB/T 39786-2021的标准规范提前规划密码应用建设,优先选用通过国密认证的密码产品和服务,为业务扩展后的合规需求做好准备。提前布局密码合规有助于避免后续系统改造的高昂成本,也能提升企业承接重要领域信息化项目的竞争力。