密碼分爲(for)核心密碼、普通密碼和(and)商用(use)密碼，我(I)們(them)日常工作(do)生(born)活中接觸到(arrive)的(of)多是(yes)商用(use)密碼。工作(do)中，網上辦公、繳稅納稅等過程都有商用(use)密碼在(exist)起作(do)用(use)。生(born)活中，第二代居民身份證就通過商用(use)密碼技術保證認證一(one)緻，購買火車票、網絡購物等在(exist)線支付全過程都有商用(use)密碼的(of)保護。

商用(use)密碼，是(yes)指對不(No)涉及國家秘密内容的(of)信息進行加密保護或安全認證所使用(use)的(of)密碼技術和(and)密碼産品。其中，商用(use)密碼技術，是(yes)保障信息安全的(of)核心技術。從功能上看，主要(want)包括加密保護技術和(and)安全認證技術；從内容上看，主要(want)包括密碼算法、密鑰管理和(and)密碼協議。商用(use)密碼産品，是(yes)指采用(use)密碼技術對不(No)涉及國家秘密内容的(of)信息進行加密保護或安全認證的(of)産品，即承載密碼技術、實現密碼功能的(of)實體。按照形态劃分，商用(use)密碼産品分爲(for)六類，即軟件、芯片、模塊、闆卡、整機、系統；按照功能劃分，商用(use)密碼産品分爲(for)七類，即密碼算法類、數據加解密類、認證鑒别類、證書管理類、密鑰管理類、密碼防僞類和(and)綜合類。

密碼是(yes)網絡信任體系的(of)重要(want)基石，是(yes)目前世界上公認的(of)，保障網絡與信息安全最有效、最可靠、最經濟的(of)關鍵核心技術。《網絡安全法》《密碼法》《數據安全法》《個(indivual)人(people)信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規均不(No)同程度地(land)提到(arrive)要(want)使用(use)商用(use)密碼。在(exist)信息互聯時(hour)代，密碼除傳統加密外，主要(want)體現在(exist)身份認證、權限管理、訪問控制等。數字經濟時(hour)代，密碼的(of)作(do)用(use)不(No)斷擴展到(arrive)數據流通、數據共享等新維度，密碼技術自身也需要(want)持續革新。

“密評”是(yes)指在(exist)采用(use)商用(use)密碼技術、産品和(and)服務集成建設的(of)網絡和(and)信息系統中，對其密碼應用(use)的(of)合規性、正确性和(and)有效性進行評估。

國家網絡安全和(and)密碼相關法律法規明确要(want)求非涉密的(of)關鍵信息基礎設施、等保三級及以(by)上系統、國家政務等重要(want)信息系統要(want)開展密評工作(do)。并且，密評管理辦法也明确規定：關鍵信息基礎設施、網絡安全等級保護第三級及以(by)上信息系統，需要(want)每年至少評估一(one)次。

● 首先，是(yes)《密碼法》第三十七條第一(one)款指出(out)：關鍵信息基礎設施的(of)運營者未按照要(want)求使用(use)商用(use)密碼，或者未按照要(want)求開展密評的(of)，由密碼管理部門責令改正，給予警告；拒不(No)改正或者導緻危害網絡安全等後果的(of)，将處十萬元以(by)上一(one)百萬元以(by)下罰款。

● 《國家政務信息化項目建設管理辦法》第二十八條第三款也有提到(arrive)：對于(At)不(No)符合密碼應用(use)和(and)網絡安全要(want)求，或者存在(exist)重大(big)安全隐患的(of)政務信息系統，不(No)安排運行維護經費，項目建設單位不(No)得新建、改建、擴建政務信息系統。

項目建設單位應當落實國家密碼管理有關法律法規和(and)标準規範的(of)要(want)求，同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。

從事密評活動的(of)機構，應當經國家密碼管理部門認定，依法取得商用(use)密碼檢測機構資質。

參考的(of)标準主要(want)分爲(for)兩類：

●第一(one)類是(yes)基本要(want)求

● 第二類是(yes)評估方法

目前主要(want)參考的(of)文件是(yes)2021年發布的(of)GM/T 0115-2021《信息系統密碼應用(use)測評要(want)求》、GM/T 0116-2021《信息系統密碼應用(use)測評過程指南》，中國密碼學會密評聯委會修訂形成的(of)《信息系統密碼應用(use)高風險判定指引》《商用(use)密碼應用(use)安全性評估量化評估規則》。

密評量化評估滿分100分，得分大(big)于(At)等于(At)60分且沒有高風險項爲(for)基本合格。

密評工作(do)主要(want)包括兩部分内容：一(one)是(yes)信息系統規劃階段的(of)密碼應用(use)方案評估，這(this)一(one)環節主要(want)用(use)于(At)保證建設方案的(of)安全性；二是(yes)信息系統建設完成後針對該系統開展現場測試。

● 方案評估階段

主要(want)針對新建或改造信息系統，密碼應用(use)改造方案一(one)般由用(use)戶單位組織編寫，用(use)戶單位編寫密碼應用(use)建設方案/改造方案後，應委托專家對方案進行評估或委托密評機構出(out)具方案密評報告。

● 系統評估階段

注：密評系統的(of)定級參照網絡安全等級保護的(of)系統定級。

密評過程（見下圖）分爲(for)四個(indivual)基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動；測評雙方之間的(of)溝通與洽談貫穿整個(indivual)密碼應用(use)安全性評估過程。其中，測評對象包括安全人(people)員、管理員、密碼産品、網絡設備、服務器、數據庫、安全設備、操作(do)系統、應用(use)系統、業務系統、技術文檔、管理制度文檔等；測評工具涉及協議分析工具、端口掃描工具、滲透測試工具、算法和(and)随機性檢測工具、密碼應用(use)檢測工具、密碼安全協議檢測工具等。

按照《密碼法》确定的(of)屬地(land)管理原則，應由運營者所在(exist)地(land)的(of)密碼管理部門作(do)爲(for)備案部門，由省級密碼管理部門作(do)爲(for)一(one)般備案部門，國家密碼管理局作(do)爲(for)特殊備案部門。自密評報告出(out)具之日起30日内，填寫《網絡與信息系統密評備案信息表》，并按備案表要(want)求，附上密評合同和(and)密評報告，郵寄到(arrive)所屬地(land)密碼管理局。

​