根据《密码法》第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,并委托商用密码检测机构开展商用密码应用安全性评估。关键信息基础设施覆盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。
等保三级及以上且涉及商用密码的系统,必须纳入密评合规范围。密评的密码应用等级一般与等保级别对应确定,即等保定级为第三级的系统应遵循GB/T 39786-2021第三级密码应用基本要求,以此类推。
党政机关和使用财政性资金的事业单位、团体组织使用的面向社会服务的政务信息系统,依据《国家政务信息化项目建设管理办法》的规定,必须将密码应用方案评估和安全性评估作为项目立项和验收的必备条件。
基础信息网络(电信网、广播电视网、互联网)、重要工业控制系统(核设施、石油石化、电力系统、交通运输、水利枢纽、城市设施等)、涉及国计民生和基础信息资源的重要信息系统(教育、社保、交通、卫生计生、金融等),均属于需满足密评合规要求的范畴。