《密碼法》已經正式實施了一年有余，《密碼法》中規(guī)定相關網(wǎng)絡運營者應自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估，開展“密評”工作是網(wǎng)絡運營者和信息系統(tǒng)責任單位必須履行的責任，也是維護密碼應用安全的必然選擇。

①什么是商用密碼？

商用密碼是指對不涉及國家秘密內容的信息進行加密保護或安全認證所使用的密碼技術和密碼產品。

②什么是商用密碼安全性評估？

商用密碼應用安全性評估（簡稱“密評”），是指在采用商用密碼技術、產品和服務集成建設的網(wǎng)絡和信息系統(tǒng)中，對其密碼應用的合規(guī)性、正確性和有效性進行評估。

③誰需要做密評？

國家網(wǎng)絡安全和密碼相關法律法規(guī)明確要求非涉密的關鍵信息基礎設施、網(wǎng)絡安全保護第三級以上網(wǎng)絡、國家政務信息系統(tǒng)等網(wǎng)絡與信息系統(tǒng)開展商用密碼應用安全性評估（簡稱“密評”）工作。

④密評工作內容有哪些？

密評工作包括兩部分重要內容：

1）信息系統(tǒng)規(guī)劃階段的密碼應用方案評估。

2）信息系統(tǒng)建設完成后的信息系統(tǒng)商用密碼應用安全性評估。

方案評估：

對于新建/改造信息系統(tǒng)，密碼應用建設方案/改造方案，一般由責任單位組織商用密碼從業(yè)單位編寫, 包括：《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任單位編寫密碼應用建設方案/改造方案后，應委托測評機構對方案進行評估。

系統(tǒng)評估：

依據(jù)GM/T0054-2018《信息系統(tǒng)密碼應用基本要求》等標準，系統(tǒng)評估主要從物理和環(huán)境、網(wǎng)絡和通信、設備和計算、應用和數(shù)據(jù)、密鑰管理、安全管理等方面開展。

⑤密評標準是什么？

GM/T0054-2018《信息系統(tǒng)密碼應用基本要求》

《信息系統(tǒng)密碼測評要求（試行）》

《商用密碼應用安全性評估測評過程指南（試行）》

《商用密碼應用安全性評估管理辦法（試行）》

《商用密碼應用安全性評估作業(yè)指導書》

《商用密碼應用安全性評估測評工具使用需求說明書》

⑥密評工作流程？

目前“密評”依據(jù)0054開展，其基本工作流程可歸納為確定評估對象、開展測評工作、輸出密碼測評報告、密評結果上報四個階段。

⑦密評工作的結論是什么？

密評的結論包括單項測評結論、單元測評結論、風險分析結論及最終的評估結論。

單項（單元）測評結論有：符合、部分符合、不符合、不適用；風險結論有高、中、低；最終測評結論有：符合、部分符合、不符合。

⑧密評活動結束結果上報要求？

網(wǎng)絡運營者完成測評工作后，獲取到“密評”測評報告后需將密評報告、密評結果上報主管部門及所在地區(qū)（部門）密碼管理部門備案，測評機構上報國密局備案；等保三級及以上信息系統(tǒng)，評估報告還需由被測單位上報至系統(tǒng)受理備案(即等級保護定級備案)的公安機關。

⑨不做密評或測試結果不合格的影響？

《密碼法》第三十七條第一款

關鍵信息基礎設施的運營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家政務信息化項目建設管理辦法》第二十八條第三款

對于不符合密碼應用和網(wǎng)絡安全要求，或者存在重大安全隱患的政務信息系統(tǒng)，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統(tǒng)。

⑩密評工作測評周期是多少？

《商用密碼應用安全性評估管理辦法（試行）》第二章第十條規(guī)定：關鍵信息基礎設施、網(wǎng)絡安全等級保護第三級及以上信息系統(tǒng)，每年至少評估一次。