《密碼法》已經(jīng)正式實施了一年有余，《密碼法》中規(guī)定相關(guān)網(wǎng)絡(luò)運(yùn)營者應(yīng)自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估，開展“密評”工作是網(wǎng)絡(luò)運(yùn)營者和信息系統(tǒng)責(zé)任單位必須履行的責(zé)任，也是維護(hù)密碼應(yīng)用安全的必然選擇。

①什么是商用密碼？

商用密碼是指對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。

②什么是商用密碼安全性評估？

商用密碼應(yīng)用安全性評估（簡稱“密評”），是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評估。

③誰需要做密評？

國家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)明確要求非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全保護(hù)第三級以上網(wǎng)絡(luò)、國家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)開展商用密碼應(yīng)用安全性評估（簡稱“密評”）工作。

④密評工作內(nèi)容有哪些？

密評工作包括兩部分重要內(nèi)容：

1）信息系統(tǒng)規(guī)劃階段的密碼應(yīng)用方案評估。

2）信息系統(tǒng)建設(shè)完成后的信息系統(tǒng)商用密碼應(yīng)用安全性評估。

方案評估：

對于新建/改造信息系統(tǒng)，密碼應(yīng)用建設(shè)方案/改造方案，一般由責(zé)任單位組織商用密碼從業(yè)單位編寫, 包括：《密碼應(yīng)用解決方案》、《實施方案》和《應(yīng)急處置方案》。責(zé)任單位編寫密碼應(yīng)用建設(shè)方案/改造方案后，應(yīng)委托測評機(jī)構(gòu)對方案進(jìn)行評估。

系統(tǒng)評估：

依據(jù)GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》等標(biāo)準(zhǔn)，系統(tǒng)評估主要從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)、密鑰管理、安全管理等方面開展。

⑤密評標(biāo)準(zhǔn)是什么？

GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》

《信息系統(tǒng)密碼測評要求（試行）》

《商用密碼應(yīng)用安全性評估測評過程指南（試行）》

《商用密碼應(yīng)用安全性評估管理辦法（試行）》

《商用密碼應(yīng)用安全性評估作業(yè)指導(dǎo)書》

《商用密碼應(yīng)用安全性評估測評工具使用需求說明書》

⑥密評工作流程？

目前“密評”依據(jù)0054開展，其基本工作流程可歸納為確定評估對象、開展測評工作、輸出密碼測評報告、密評結(jié)果上報四個階段。

⑦密評工作的結(jié)論是什么？

密評的結(jié)論包括單項測評結(jié)論、單元測評結(jié)論、風(fēng)險分析結(jié)論及最終的評估結(jié)論。

單項（單元）測評結(jié)論有：符合、部分符合、不符合、不適用；風(fēng)險結(jié)論有高、中、低；最終測評結(jié)論有：符合、部分符合、不符合。

⑧密評活動結(jié)束結(jié)果上報要求？

網(wǎng)絡(luò)運(yùn)營者完成測評工作后，獲取到“密評”測評報告后需將密評報告、密評結(jié)果上報主管部門及所在地區(qū)（部門）密碼管理部門備案，測評機(jī)構(gòu)上報國密局備案；等保三級及以上信息系統(tǒng)，評估報告還需由被測單位上報至系統(tǒng)受理備案(即等級保護(hù)定級備案)的公安機(jī)關(guān)。

⑨不做密評或測試結(jié)果不合格的影響？

《密碼法》第三十七條第一款

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

《國家政務(wù)信息化項目建設(shè)管理辦法》第二十八條第三款

對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。

⑩密評工作測評周期是多少？

《商用密碼應(yīng)用安全性評估管理辦法（試行）》第二章第十條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng)，每年至少評估一次。