為什么要做密評？

• 開展密評，是為了解決商用密碼應用中存在的突出問題，為網絡和信息系統的安全提供科學評價方法，逐步規范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規范、不安全的現狀，確保商用密碼在網絡和信息系統中有效使用，切實構建起堅實可靠的網絡安全密碼屏障。

• 《密碼法》第二十七條：法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

• 《商用密碼管理條例》第六章第三十八條：法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業人員，同步規劃、同步建設、同步運行商用密碼保障系統，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

• 《商用密碼應用安全性評估管理辦法（試行）》第一章第三條：“涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位應當健全密碼保障體系，實施商用密碼應用安全性評估”。重要領域網絡和信息系統包括：基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統，以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。

密評整體流程？

密評整體流程共包括4個階段，分別為編寫密碼應用方案、密碼應用方案評估、系統建設/改造、密碼應用安全性評估。

• 編寫密碼應用方案：客戶首先自行或委托密評機構按照密評標準對系統進行差距分析，根據差距分析結果結合系統實際情況設計密碼應用方案，密碼應用方案應包括系統現狀及存在的風險、系統涵蓋的重要數據、密碼應用需求、方案設計以及使用的密碼技術、管理制度、應急方案以及實施方案等。

• 密碼應用方案評估：密碼應用方案編寫完成后，可委托密碼專家或密評機構對密碼應用方案進行評審，若委托密碼專家對方案評審則出具專家評審意見，若委托密評機構評審，則出具密碼應用方案評估報告。

• 系統建設/改造：密碼應用方案通過評審后，系統集成單位按照通過評審的方案對系統進行建設或改造。

• 密碼應用安全性評估：系統建設/改造完成后，被測單位委托密評機構對系統進行測評，密評機構按照GB/T 39786標準測評并出具差距分析報告，客戶根據差距分析結果進行整改并申請復測，最終出具符合要求的商用密碼應用安全性評估報告。

云密評專區的防護功能是否就能滿足密評合規需求？

云密評專區可滿足密評二級、三級的安全技術合規要求，密評第一級~第四級密碼應用基本要求見下表。

• 對于“可”的條款，由信息系統責任單位自行決定是否納入標準符合性測評范圍。若納入測評范圍，則密評人員應按照相應的測評指標要求進行測評和結果判定；否則，該測評指標為“不適用”。

• 對于“宜”的條款，密評人員根據信息系統的密碼應用方案和方案評審意見決定是否納入標準符合性測評范圍；若信息系統沒有通過評估的密碼應用方案或密碼應用方案未做明確說明，則“宜”的條款默認納入標準符合性測評范圍。若納入測評范圍，則密評人員應按照測評指標要求進行測評和結果判定。否則，密評人員應根據信息系統的密碼應用方案和方案評審意見，在測評中進一步核實密碼應用方案中所描述的風險控制措施使用條件在實際的信息系統中是否被滿足，且信息系統的實施情況與所描述的風險控制措施是否一致，若滿足使用條件，該測評指標為“不適用”，并在密碼應用安全性評估報告中體現核實過程和結果；若不滿足使用條件，則應按照測評指標要求進行測評和結果判定。

• 對于“應”的條款，密評人員應按照測評指標要求進行測評和結果判定；若根據信息系統的密碼應用方案和方案評審意見，判定信息系統確無與某項或某些項測評指標相關的密碼應用需求，則相應測評指標為“不適用”。