《中華人民共和國密碼法》

2019年10月26日第十三屆全國人民代表大會常務委員會第十四次會議通過，于2020年1月1日起正式施行。

第二十七條

法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重復評估、測評。

密碼應用安全性評估的主要內容

密評的對象是采用商用密碼技術、產品和服務集成建設的網絡與信息系統(tǒng)，評估的內容包括密碼應用安全的三個方面：合規(guī)性、正確性和有效性。

商用密碼應用合規(guī)性評估

商用密碼應用合規(guī)性評估是指信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和密碼相關國家標準、行業(yè)標準的有關要求，使用的密碼產品和密碼服務是否經過國家密碼管理部門核準或由具備資格的機構認證合格。

商用密碼應用正確性評估

商用密碼應用正確性評估是指判定密碼算法、密碼協(xié)議、密鑰管理、密碼產品和服務使用是否正確，即系統(tǒng)中采用的標準密碼算法、協(xié)議和密鑰管理機制是否按照相應的密碼國家和行業(yè)標準進行正確的設計和實現(xiàn)，自定義密碼協(xié)議、密鑰管理機制的設計和實現(xiàn)是否正確，安全性是否滿足要求，密碼保障系統(tǒng)建設或改造過程中密碼產品和服務的部署和應用是否正確。

商用密碼應用有效性評估

商用密碼應用有效性評估是指判定信息系統(tǒng)中實現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運行過程中發(fā)揮了實際效用，是否滿足了信息系統(tǒng)的安全需求，是否切實解決了信息系統(tǒng)面臨的安全問題。

商用密碼應用與安全性評估通常稱為“密評”，依據《中華人民共和國密碼法》等規(guī)定，按照有關管理規(guī)范和技術標準，對采用商用密碼技術、產品和服務集成建設的網絡與信息系統(tǒng)中對其密碼就用的合規(guī)性、正確性、有效性等進行評估。

依據通過評審的密碼應用方案和GB/T 39786-2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》、GM/T 0115-2021《信息系統(tǒng)密碼應用測評要求》、GM/T 0116-2021《信息系統(tǒng)密碼應用測評過程指南》等標準，從物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據安全、管理制度、人員管理、建設運行和應急處置等方面開展評估。