《办法》主要内容

随着《密码法》颁布实施，密评制度依法确立，密评机构纳入商用密码检测机构统一管理，新修订的《商用密码管理条例》对密评提出更高要求，变“推荐性”为“强制化”。为有效贯彻落实上位法规定，国家密码管理局制定《办法》，统筹细化密评对象范围、责任主体、工作原则、程序内容、实施规范等规定，依法规范密评工作。《办法》共21条的主要内容。

《办法》秉持密评工作系统性原则，将密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入密评工作体系，细化落实了“三同步一评估”要求，体现了密评系统性原则，明确了密评实施依据。

《办法》与《商用密码管理条例》相比，进一步扩展和明确了密评范围，《条例》对网络和信息系统运营者的要求较为模糊。《办法》明确将密评对象明确为重要网络与信息系统，不仅涵盖了关键信息基础设施，还包含其他大量系统。

依据目前的法律、行政法规和国家有关规定，重要网络与信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

《办法》标志着密评工作正式上升为具有强制力的国家规范，密评“强制性”执行阶段正式到来。《办法》强调，重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。委托商用密码检测机构开展密评的，不得对评估结果施加不当影响，并应当提供重要数据、设备清单和网络拓扑、详细商密应用记录、数据采集、人员配合等支持。

开展密评，是国家相关法律法规提出的明确要求，是网络安全运营者的法定责任和义务。如果重要网络与信息系统的运营者没有按照要求进行“三同步一评估”，将受到严重的处罚。

《密码法》明确规定，未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告。《办法》也规定重要网络与信息系统的运营者违反本办法规定，由密码管理部门责令改正；逾期未改正或者改正后仍不符合要求的，处1万元以上10万元以下罚款，对直接负责的主管人员处5000元以上5万元以下罚款。

《办法》第四条要求，从事商用密码应用安全性评估活动，向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资质。

道普信息是国家密码管理局认定的全国首批24家商用密码应用安全性评估试点机构之一，由山东省计算中心所属山东省软件评测中心于2016年通过科研成果转化成立，已成为国内具备关保、分保、等保、软测、密评（三保一测一评）综合能力的专业机构。并基于多年来在密码测评领域的实践与具备的雄厚实力，参编了GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》国家标准，该标准规定了信息系统第一级到第四级的密码应用测评的基本要求，推动了网络和信息系统密码应用的合规性、正确性和有效性。