商用密码应用安全性评估（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行

评估。

      简单来说，密评就是评估网络和信息系统是否按要求应用了符合国密标准的密码技术。

一、密评服务内容

（1）服务名称：

         密评（二级）、密评（三级）。

         服务内容：

         对系统整体的商用密码组件进行专项测试和综合评估，分析密码应用的合规性、正确性和有效性，出具安全性评估结果。

         交付物：《系统密码应用安全性评估报告》（二级）、《系统密码应用安全性评估报告》（三级）。

（2）服务名称：

         商用密码应用方案评审。

         服务内容：

         依照商用密码应用方案评审程序，完成评审，出具方案评估结果。

         交付物：《商用密码应用方案评审报告》

二、密评流程

（1）规划阶段

在这个阶段，重要网络与信息系统的运营者需要根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统，并对商用密码应用方案进行密评。商用密码应用方案需要考虑商用密码应用的全面性、合理性和针对性，选取适用的评估指标，分析商用密码应用流程和机制，论证商用密码技术、产品和服务的选用，密钥管理的安全性，以及使用商用密码解决安全风险的科学性。商用密码应用方案未通过密评的，不得作为商用密码保障系统的建设依据。

（2）建设阶段

在这个阶段，重要网络与信息系统的运营者需要按照通过密评的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统，并对建设完成的网络与信息系统开展密评。密评需要对照商用密码应用方案，了解网络与信息系统的基本情况，确定评估指标和评估对象，开展现场评估，做好数据采集和信息汇总，研判商用密码保障系统的配置和运行情况，根据客观凭据逐项对评估指标进行判定，编制形成商用密码应用安全性评估报告。网络与信息系统未通过密评的，运营者需要进行改造，改造期间不得投入运行。

（3）运行阶段

在这个阶段，重要网络与信息系统的运营者需要自行或者委托商用密码检测机构每年至少开展一次密评，确保商用密码保障系统正确有效运行，并对发生的密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况进行应急处置和密评。未通过密评的，运营者需要进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全。

（4）备案阶段

在这个阶段，重要网络与信息系统的运营者需要在商用密码应用安全性评估报告形成后，将评估报告和相关工作情况按照国家有关规定报送国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门备案。国家密码管理局或者省、自治区、直辖市密码管理部门对密评结果备案材料进行形式审查，必要时进行抽样检查。抽样检查不合格的，相关运营者需要重新开展密评。

三、交付内容

（1）密码应用方案评审

        依照密码应用方案评审程序，完成评审，提交评审意见或方案密码应用安全性评估报告。

（2）信息系统评估

        依照测评流程，完成测评， 提交信息系统密码应用安全性评估报告。

（3）最终评估结论

        符合：整体量化评估结果为100分。

        基本符合：整体量化评估结果低于 100 分、不低于60分，风险分析无“高风险”项 。

        不符合 ： 整体量化评估结果低于 60 分或存在“高风险项”（需整改）。