近日，国家密码管理局公布了《商用密码应用安全性评估管理办法》（国家密码管理局令第3号）（以下简称《办法》），《办法》已经国家密码管理局局务会议审议通过，自2023年11月1日起施行。

《办法》共21条。第1条至第5条明确了立法目的，商用密码应用安全性评估定义、管理体制、保障措施等内容；第6条至第9条为商用密码应用安全性评估各阶段的具体要求；第10条至第15条为商用密码应用安全性评估实施规范，规定运营者委托评估机构或者自行开展商用密码应用安全性评估的各类强制性要求；第16条至第19条为监督及法律责任；第20条、第21条规定有关过渡、施行等程序性事项。

《办法》首次明确了商用密码应用安全性评估范围，评估对象为重要网络与信息系统，不仅涵盖了关键信息基础设施，还包含其他大量系统。同时，进一步落实了“三同步一评估”相关要求，将密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入了商用密码应用安全性评估工作体系。相较于今年6月9日发布的《办法（征求意见稿）》，正式发布的《办法》还补充了针对“重要网络与信息系统的运营者违反办法规定的相关罚则”和针对“从事商用密码应用安全性评估监督管理工作的人员滥用职权、玩忽职守、徇私舞弊或泄露商业机密、个人隐私”等行为的处罚办法。

《办法》强调：“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。”这也标志着密评工作正式上升为具有强制力的国家规范，商密产业发展步入了“强制性”合规新时代。

根据国家密码管理局的官方解读，商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。《办法》的制定细化《密码法》《商用密码管理条例》（以下简称《条例》）关于商用密码应用安全性评估工作主体、方式、程序、备案等方面要求，吸收继承商用密码应用安全性评估试点经验做法，结合工作实际，注重合法性、合理性和可操作性，力求做到内容完备、逻辑严密。主要体现了以下三方面思路：

• 细化落实“三同步一评估”要求

按照《密码法》、《条例》规定，《办法》对依法应当使用商用密码进行保护的重要网络与信息系统，明确要求同步规划、同步建设、同步运行商用密码保障系统，并定期进行商用密码应用安全性评估。细化商用密码应用安全性评估要求，从规划、建设、运行各个阶段分别提出落实安排、明确评估程序及内容，建立起商用密码应用安全性评估制度的基本框架。

• 体现商用密码应用安全性评估系统性原则

《办法》将商用密码应用方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系，在实施中“按照同一套标准、遵循同一套程序、囊括同一套活动”，确保重要网络与信息系统全生命周期落实商用密码应用安全性评估要求。同时，将商用密码应用安全性评估机构统一纳入商用密码检测机构管理，进一步体现工作的系统性整体性。

• 明确商用密码应用安全性评估实施依据

按照《密码法》、《条例》关于运营者自行或者委托商用密码应用安全性评估机构开展评估的规定，《办法》分别明确了相关要求，并就两者需共同遵守的行为规范作出规定，从而明确了商用密码应用安全性评估活动的实施依据，有助于规范提升商用密码应用安全性评估工作质量。

什么是密评？为什么要做密评？——

密评是商用密码应用安全性评估的简称，根据《办法》的定义，密评是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

简单地说，就是对使用了商业密码的系统进行评估，从而确保其密码应用的合规、正确、有效。开展商用密码应用安全性评估，是为解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理，从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用。

国家网络安全和密码相关法律法规也明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估工作，即密评工作。

湖北CA——让密评更轻松、密码应用更可靠

湖北CA是拥有国家密码管理局颁发的商用密码使用许可资质的权威电子认证服务机构，在深耕密码行业二十余年的时间里，不仅积累了厚实的技术底蕴与丰富的服务经验，更独创了“成熟密码应用建设方法论+完整密码产品体系”的一揽子密码应用解决方案，并在多个重要领域、数百家客户的网络信息系统中得到了成功应用。

在密评密改实践中，湖北CA依托对相关国家标准与技术指标要求的深度理解，充分运用领先的密码应用技术，紧密结合客户业务应用与安全等级保护需求开展密码应用顶层设计，以可靠的网络架构和适配的密码产品为基础量身定制解决方案，确保密码应用在制度管理、人员管理、建设运行、应急处置、物理和环境、网络和通信、设备和计算、应用和数据等全维度可靠合规，让客户密码应用更安全，也让顺利通过密评更轻松。