文章总结： 本文详细解析密评（商用密码应用安全性评估）的定义、法律依据、适用范围及评估内容。密评是法律强制要求，针对关键信息基础设施、等保三级以上系统及政务系统，主要依据GB/T39786-2021标准从密码技术应用和管理五个层面进行评估。评估分方案密评（合规性）和系统密评（有效性）两阶段，未通过将面临最高100万元罚款及业务影响。文章强调密评非可选项，并提供费用（10-30万元）和周期（关键设施需年检）等实操信息。 综合评分： 85 文章分类： 技术标准,政策法规,安全建设,解决方案,数据安全

密评到底是什么？企业密码合规必备指南

安全认证途途

2026年5月13日 10:47 广东

在小说阅读器读本章

去阅读

“密评和等保有什么区别？”

“我们公司好像不需要做密评吧？”

 “密码测评到底要测什么？”

上一期我们聊了等保测评，很多朋友紧接着就问起了“密评”。今天这篇文章，就来详细讲讲这个和等保“形影不离”的密评到底是什么。

密评，究竟是什么？

密评，全称“商用密码应用安全性评估”，是指对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

说人话就是：检查你的系统用密码的方式对不对、密码产品合不合规、密码保护有没有效果。

⚠️注意，密评评的不是“信息系统是否安全”，而是“密码应用是否合规有效”。这是一个专项评估，和等保测评侧重点不同。

密评的法律依据，不是“可选”的！

01

很多人以为密评是“可选项”，其实它是法律强制要求！

主要法律依据

• 《中华人民共和国密码法》 | 第二十七条 |
• 《商用密码管理条例》 | 第四十一条 |
• 《商用密码应用安全性评估管理办法》 | 第六条 |
• 《国家政务信息化项目建设管理办法》 | 第十五条 |
• 公安部指导意见 | 公网安〔2020〕1960号 |

  🔴 重要：根据《密码法》第二十七条，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，并自行或委托商用密码检测机构开展密评。

哪些企业必须做密评？

02

必须开展密评的三类系统

1. 关键信息基础设施 — 必须每年至少一次

2. 网络安全等级保护第三级及以上的信息系统

3. 政务信息系统

 典型适用行业

• 金融（银行、证券、保险）
• 政务（各级政府机关、事业单位）
• 医疗（医院、医保系统）
• 教育（高校、在线教育平台）
• 交通（航空、铁路、地铁）
• 能源（电力、石油、燃气）

  💡提醒：即使不在上述范围，如果你的系统使用了商用密码并涉及重要数据，建议主动开展密评。

密评到底评什么？

03

依据 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，密评主要围绕以下五个层面：

密码技术应用测评

• 物理和环境安全 — 机房出入、密码门禁
• 网络和通信安全 — 通信链路加密、身份鉴别
• 设备和计算安全 — 设备身份认证、密钥管理
• 应用和数据安全— 数据加密存储、签名验签

密码管理测评

• 管理制度— 密码管理制度、人员管理、应急处置

密评的两个阶段

04

在密码应用安全性评估（简称“密评”）过程中，密评分为方案密评和系统密评两个阶段：

密评阶段

开展时间

核心目的

方案密评

系统规划建设阶段

评估密码应用方案是否符合相关规范、是否具备合规性，从源头把控密码应用的基础安全。

系统密评

系统投入运行前 / 运行中

评估系统实际密码应用是否有效落地、是否能真正发挥安全防护作用，保障系统运行安全。

核心总结：方案密评看“合规性”，系统密评看“有效性”，二者缺一不可。

简单来说，方案密评是“事前把关”，确保密码应用方案“想得对、做得合规”；系统密评是“事中/事后核查”，确保密码应用“用得好、防得有效”。

密评不通过，有什么后果？

05

法律责任

• 依据《密码法》第四十四条：责令改正、警告
• 情节严重的：罚款最高100万元
• 对直接负责的主管人员和其他直接责任人员罚款最高10万元

业务影响

• 无法通过政务系统验收
• 可能被要求暂停服务
• 影响企业信用和资质申请

常见问题

Q

等保和密评，必须同时做吗？

不一定，但两者常被要求同时通过。等保是“全面体检”，密评是“专项检查”。关键信息基础设施通常需要同时满足两者要求

A

Q

密评周期是多久？

关键信息基础设施每年至少一次；等保三级及以上系统根据要求定期开展。

A

Q

密评费用大概多少？？

根据系统规模和复杂度，一般10-30万元不等

A

Q

用什么标准做密评？

主要依据 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》和 GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》

A

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全认证途途 《密评到底是什么？企业密码合规必备指南》