一、《指南》核心内容解读

依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的有关内容，《指南》分析了政务领域的安全风险和安全需求，对不同保护对象提出密码应用实施指南和密码应用安全性评估实施指南。各级地方政务信息化项目建设单位和使用单位也可参照指南开展相关工作，促进政务领域典型场景商用密码的合规、正确、有效应用，推进政务领域密码落地实施。

根据《指南》要求，针对政务领域典型场景，如政务云平台的云平台管理、云上应用管理、虚拟机迁移、快照恢复，和政务服务平台的信息发布、前台业务办理、政务数据共享交换、后台业务办理等，项目建设单位需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用密码技术措施，建立安全的密钥管理方案，并采取有效的安全管理措施，对政务信息系统进行保护。政务信息系统需使用经检测认证合格的商用密码产品或服务，使用的商用密码算法、技术应用遵循密码相关国家标准和行业标准。

《商用密码管理办法》将密评对象明确为重要网络与信息系统，政务信息系统是国家关键信息基础设施之一，系统中存储着大量的个人隐私信息和政府敏感数据。政务信息系统一旦遭受攻击，引起数据泄露，个人利益、社会稳定和国家安全将受到威胁。在国家政务信息化发展的大趋势下，构建以密码为基础支撑的防护体系，推进政务服务领域的密码应用势在必行。

1.应对日益复杂威胁，满足安全需求

当前信息系统在密码应用方面存在的诸多问题，如大部分系统缺乏密码技术保护，导致合规风险显著；密码使用不规范、密钥管理松散、系统维护不到位，埋下安全隐患；大量系统仍在沿用存在风险的旧式密码算法，安全服务使用亦不合规，严重威胁信息系统安全；加之密码产品繁多、系统改造困难且成本高昂，以及密码资源管理分散、难以有效维护，使得信息安全形势更为严峻。

政务信息系统开展密评，是国家相关法律法规提出的明确要求，是网络安全运营者的法定责任和义务。

《商用密码应用安全性评估管理办法》要求，重要网络与信息系统建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。

《国务院关于加快推进“互联网+政务服务”工作的指导意见》要求，加强网络和信息安全保护。按照国家信息安全等级保护制度要求， 加强各级政府网站信息安全建设，健全“互联网+政务服务”安全保障体系。

《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》要求，遵循国家信息安全等级保护相关规范以及国家保密 管理和密码管理的有关要求，建立健全“互联网+政务服务”安全保障体系。

《国家政务信息化项目建设管理办法》要求，政务信息化项目建设单位，应同步规划、同步建设、同步运行密码保障系统并定期进 行评估。

在当前政策导向与安全需求的双重驱动下，政务信息系统开展密评已成为不可推卸的法定责任。这不仅是履行合规性的体现，更是对日益复杂威胁环境的有效应对。通过密评，政务信息系统可以解决商用密码应用中存在的突出问题，从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在政务信息系统中有效使用。

政务信息系统密评工作流程主要分为信息系统规划、信息系统建设、信息系统运行等三个阶段。

在数字化经济蓬勃发展的背景下，密码作为信息安全的基石，其重要性日益凸显，已经成为保障各类信息系统和数据安全不可或缺的基础设施。2023年7月1日起实施的《商用密码管理条例》明确规定密评、关保、等保应当加强衔接，避免重复评估、测评。

随着众多政策要求多监管、强监管和日益严峻的安全风险，对运营单位网络安全提出了更高要求，满足监管的难度越来越大。不仅如此，运营单位还面临着一些运营单位存在着技术方法和管理措施不聚焦、无法形成动态管理机制、等保密码关保等合规验证工作重复、合规管理成本高等风险。

安全是整体，合规是基准。道普信息风险管控专家建议，可以借助专业的第三方风险管控服务，采取多规管理融合手段，基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，从“合规规划、合规实施、结果管理、合规跟踪”四个维度，开展等保、密码、关保测评等安全性评估，实现合规工作的规范化，降低合规管理成本，满足监管部门各项网络安全要求，保障信息化管理对象合规运行，减少监管部门的通报，实现全面合规。

在数字化经济发展的过程中，密码已成为安全保障的基础设施，密评工作成为强制性要求。《指南》的发布不仅是对当前政务信息安全需求的积极响应，更是对未来安全挑战的前瞻性布局。密评成为推动政务数字化转型的强劲动力，不仅守护着数据的每一道防线，更将激发政务信息化发展的无限潜能，为建设数字政府提供强有力的技术支撑与安全保障。