商用密码应用安全性评估（密评）实施指南：法律依据与核心要点解析

随着信息化建设的深入发展，商用密码技术在各行业中的应用日益广泛，其安全性直接关系到国家安全、经济安全和社会稳定。商用密码应用安全性评估（简称"密评"）作为保障密码应用合规性、正确性和有效性的重要手段，已成为各企事业单位信息化建设中的关键环节。

一、密评工作的法律基础与政策要求
1. 《密码法》确立的法定责任
2019年颁布的《中华人民共和国密码法》为密评工作提供了坚实的法律基础。该法第二十七条明确规定：“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。“这一条款确立了关键信息基础设施运营者的法定评估义务，并将密评纳入国家网络安全保障体系。
2023年7月1日正式施行的新版《商用密码管理条例》进一步细化了相关要求。条例第三十八条规定关键信息基础设施"通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估”；第四十一条明确网络运营者应"按照国家网络安全等级保护制度要求使用商用密码”；第四十二条强调密评应与等保测评、关保评估相衔接，避免重复评估。这些规定构成了密评工作的核心法律框架。
2. 配套政策与标准体系
国家密码管理局联合多部门出台了一系列配套政策文件，如《商用密码应用安全性评估管理办法（征求意见稿）》《关于规范商用密码应用安全性评估结果备案工作的通知》等，形成了涵盖评估范围、程序要求、机构管理、结果备案等环节的完整制度链条。
在标准规范层面，已构建起以GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》为基础，GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》为支撑，配合《商用密码应用安全性评估量化评估规则（2023版）》《信息系统密码应用高风险判定指引》等指导性文件的标准体系，为密评实施提供了具体技术依据。
3.规范性政策文件
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安2020〔1960〕号）指出重点行业、部门应全面网络安全工作统筹规划，以贯彻落实等级保护制度和关基安全保护制度为基础，以保护关基、重要网络和数据安全为重点，加强网络安全防范管理、监测预警、应急处置、侦查打击、情报信息等，及时监测、处置网络安全风险、威胁和安全突发事件，切实提高网络安全保护能力。
网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估。

二、密评实施的核心标准与技术要求
1. GB/T 39786-2021的核心地位
作为密评工作的基础性标准，GB/T 39786-2021从技术要求和管理要求两个维度，为信息系统密码应用提供了全面规范：
技术要求包括四个层面：
物理和环境安全：确保机房、办公场所等物理区域的访问控制、视频监控等采用密码保护
网络和通信安全：保障网络边界防护、通信数据传输的机密性和完整性
设备和计算安全：实现设备身份鉴别、远程管理通道保护等
应用和数据安全：落实身份认证、访问控制、数据存储和传输加密等
管理要求涵盖：
密码应用管理制度建设
人员管理（职责分离、权限控制等）
系统建设运行全周期管理
应急处置机制
标准根据信息系统安全保护等级（第一至第四级）设定了差异化的密码应用要求，测评时需严格对应系统等级进行符合性判断。
2. GM/T 0116-2021的流程规范
GM/T 0116-2021《信息系统密码应用测评过程指南》规定了密评工作的标准流程，包括四个主要阶段：
测评准备：
确定测评对象和范围
收集系统定级备案、网络拓扑、密码应用方案等资料
制定测评实施方案
方案编制：
设计具体测评方法（访谈、检查、测试等）
准备测评工具（密码算法检测工具、网络抓包工具等）
明确测评风险控制措施
现场测评：
实施物理环境检查
进行网络和通信安全测试
开展设备和计算安全验证
执行应用和数据安全检测
核查管理制度落实情况
分析与报告：
汇总测评结果
进行整体符合性分析
评估剩余风险
编制测评报告
标准特别强调测评过程的客观性和可追溯性，要求完整记录测评证据，确保测评结果可重现。

三、密评实施的实践建议
1. 对网络运营者的建议
全生命周期管理：在系统规划阶段即编制密码应用方案并通过评估，建设阶段严格按方案实施，运行阶段定期评估。
资源保障：配备专职密码管理人员，保障密码建设与评估经费。
持续改进：建立评估发现问题整改机制，将密码安全纳入日常运维。
2. 对测评机构的建议
规范操作：严格遵循GM/T 0116的测评流程，确保测评活动规范、结果可信。
能力建设：持续跟踪密码技术发展，更新测评工具和方法。
客观公正：保持测评独立性，不受外部因素影响评估结论。

商用密码应用安全性评估是保障信息系统安全的基础性工作，需要建设方、运营方和评估方协同配合。随着《密码法》的深入实施和密评制度的不断完善，各行业应高度重视密码应用安全性评估工作，将其纳入信息系统全生命周期管理。
未来，随着量子计算、人工智能等技术的发展，密码技术将面临新的挑战，密评工作也需要与时俱进，不断完善评估标准和方法，为构建安全可信的网络空间提供坚实保障。