密码测评（密评）政策调研报告

一、调研概述一调研背景伴随数字经济、政务信息化、关键信息基础设施建设快速发展网络与数据安全风险持续凸显。《中华人民共和国密码法》《商用密码管理条例》等法律法规正式落地实施将商用密码应用安全性评估简称 “密评”从指导性要求升级为强制性合规义务。各级党政机关、能源、金融、医疗、电信、电力、民航等行业主管部门相继出台配套管理文件明确信息系统 “三同步一评估”、定期密评、密评结果与项目审批、运维经费、行业考核挂钩等硬性约束。为全面梳理现行密评法律法规、行业监管规则、测评标准及合规要求本报告结合国家顶层法规、分行业专项政策、密评技术标准开展系统性调研为各单位开展密码应用改造、密评实施、合规自查提供政策依据与工作指引。二调研范围国家层面法律、行政法规、部门规章《密码法》《商用密码管理条例2023 修订》《关键信息基础设施商用密码使用管理规定》《网络安全法》《数据安全法》《个人信息保护法》《电子签名法》《关键信息基础设施安全保护条例》等政务信息化、等保 2.0 配套政策文件能源、金融、医疗、电信、电力、民航、自然资源等重点行业专项管理办法密评核心国家标准《GB/T 39786-2021 信息系统密码应用基本要求》测评指标、判定规则与结果分级标准。三调研目的梳理商用密码应用与密评全周期政策脉络明确法规生效时间、强制约束条款划分通用领域与重点行业差异化密评监管要求区分关基、等保三级及以上系统合规底线解读密评技术指标体系、评分判定规则明确一至四级信息系统密码应用强制性、推荐性要求总结未落实密评的惩戒措施为单位密码体系建设、年度密评、合规整改提供落地依据。二、国家顶层法律法规与核心政策梳理一基础法律体系时间线与核心要求法规名称实施时间核心密评相关规定《电子签名法》2005.04.01确立电子签名、数字认证法律效力为商用密码电子认证应用提供法律基础《商用密码管理条例旧版》1999.10.07首次建立商用密码基础管理框架《网络安全法》2017.06.01明确关键信息基础设施安全保护义务要求采用加密等安全防护技术《密码法》2020.01.01密码领域基础性法律确立密码分类管理强制关基运营者使用商用密码保护必须开展密评明确商用密码检测、认证、市场准入制度与违法责任《数据安全法》2021.09.01要求重要数据采取加密保护等安全措施商用密码为核心防护手段《个人信息保护法》2021.11.01个人信息存储、传输需加密防护规范密码技术在个人信息全生命周期应用《关键信息基础设施安全保护条例》2021.09.01关基运营者落实加密、认证等安全措施配套密码安全评估工作《商用密码管理条例2023 修订国务院 760 号令》2023.07.01第三十八条强制要求关基运营者同步规划 / 建设 / 运行密码保障系统每年至少开展 1 次密评评估结果报送密码管理部门密评由本单位自行或委托第三方商用密码检测机构实施商用密码改造由建议转为强制要求《密码发展五年规划》两办文件2023.11统筹全国商用密码产业与密码应用安全评估长期发展规划《关键信息基础设施商用密码使用管理规定》国密局、网信办、公安部 5 号令2025.08.01统一关基商用密码使用标准明确三同步、定期密评硬性要求作为关基密评核心执法依据二政务信息化专项强制政策国务院办公厅《国家政务信息化项目建设管理办法》国办发〔2019〕57 号2019.12.30 印发核心约束硬性落实三同步一评估密码保障系统同步规划、同步建设、同步运行定期开展商用密码应用安全性评估政务项目向发改委备案材料必须包含密码应用方案、密评报告惩戒机制未满足密码与网络安全要求的系统不予拨付运维经费禁止新建、改建、扩建同类政务系统可采取通报批评、暂缓投资、暂停项目、终止项目等处罚。三等保 2.0 配套密评政策网络安全等级保护制度 2.0 标准 2019 年 12 月 1 日实施公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》2020.09.22第三级及以上定级网络规划、建设、运行全阶段必须部署合规商用密码产品与服务等保测评工作同步开展商用密码应用安全性评估三级系统必须完成密评。三、重点行业商用密码与密评专项监管政策各行业主管部门出台专项管理文件针对行业业务系统、监控平台、核心数据制定差异化密码应用及密评考核要求覆盖能源、电力、金融、医疗、电信、民航、自然资源领域一能源、电力行业《电力行业网络安全管理办法修订征求意见稿》电力企业必须同步开展电力监控防护评估、等保测评、关基检测、风险评估、商用密码应用安全性评估存在不合规项限期整改《能源行业数据安全管理办法试行》2025 年 12 月国家能源局能源核心数据处理主体优先采用商用密码实施全流程保护。二金融行业《银行保险机构数据安全管理办法》2024.12.27国家金融监督管理总局银行保险机构线上数据处理活动同步落实等保、关基保护、商用密码保护三项制度定期开展密评。三医疗卫生行业《医疗卫生机构数据安全和个人信息保护管理办法试行》2026 年 2 月卫健委、公安部、网信办等五部门联合发文医疗机构分级处理医疗数据强制使用商用密码密码技术结合鉴权、认证、脱敏、数字水印覆盖数据收集、存储、传输全生命周期安全防护。四基础电信行业2026 年基础电信企业省级公司网络安全考核标准关基、三级及以上系统需至少选取 2 套网络系统落地商用密码应用三级及以上网络单元商用密码应用覆盖率不得低于 30%未达标每项扣 10 分纳入年度安全考核评级。五其他行业《民航数据管理办法征求意见稿》《自然资源领域数据安全管理办法》均明确鼓励商用密码技术保护行业数据持续规范商密融合落地与常态化密评机制。四、密评国家标准与测评指标体系解读一核心标准依据密评测评工作统一遵循GB/T 39786-2021《信息系统密码应用基本要求》标准将信息系统划分为一级、二级、三级、四级四个安全等级从技术要求、管理要求两大维度设置指标采用四类要求标识“-”无强制要求“可”允许、可选实施“宜”推荐、建议实施“应”必须落实强制性要求。二技术类指标分层要求技术指标分为物理环境、网络通信、设备计算、应用数据四大模块核心强制要求汇总1、物理和环境安全视频监控记录完整性三级、四级系统为 “应”密码服务、密码产品二级及以上系统强制配置。2、网络和通信安全通信重要数据机密性、完整性、安全接入认证三、四级系统 “应”边界访问控制、远程管理通道密码防护高等级系统强制落地。3、设备和计算安全日志完整性、程序真实性校验、资源访问控制完整性三、四级强制全等级二级及以上系统必须部署合规密码服务与密码产品。4、应用和数据安全密评核心模块重要数据存储、传输机密性 / 完整性、不可否认性三、四级系统全部为 “应”身份鉴别、访问控制、数据安全标记需通过密码技术实现不可否认功能为三级、四级系统强制性指标。三管理类指标分层要求管理指标覆盖制度、人员、建设运行、应急处置四大板块全等级通用强制底线管理制度所有等级系统均 “应” 建立密码安全管理制度、密钥管理规则、操作规程定期修订、留存执行记录人员管理必须设置密码岗位责任制、岗前培训、定期考核、关键岗位离岗保密管理全员学习密码法律法规建设运行必须编制密码应用方案、密钥管理策略三、四级系统上线前完成密评每年定期密评并开展攻防演练应急处置全部等级系统需制定密码安全应急策略发生密码安全事件及时处置并上报主管单位。四密评结果判定规则总分 100 分符合综合得分 100 分全部强制性指标无缺失、无高风险基本符合60 分≤综合得分100 分系统不存在高风险密码安全隐患不符合综合得分60 分或存在任意高风险密码安全漏洞。五、政策核心强制义务总结1、适用主体全覆盖关键信息基础设施运营者、三级及以上等保系统运营单位、政务信息化项目建设单位、能源 / 金融 / 医疗 / 电信等重点行业机构均为密评法定责任主体。2、三同步硬性建设要求新建、改建、扩建信息系统密码保障系统与主体工程同步规划、同步建设、同步运行无例外豁免情形。3、常态化评估周期关基单位每年至少开展 1 次商用密码应用安全性评估政务、等保三级系统定期密评评估报告报送密码管理、网信、公安等主管部门。4、测评实施渠道单位可自行组织内部密评或委托具备资质的商用密码第三方检测机构开展正式测评。5、刚性惩戒约束政务项目不予经费、暂停项目投资行业年度安全考核扣分违反《密码法》《商用密码管理条例》将面临行政处罚造成安全事故的追究相关单位与人员法律责任。六、现存合规风险与工作建议一常见合规风险新建系统未同步规划密码方案上线后补做密码改造不符合 “三同步” 要求等保三级、关基系统未按年度开展密评未留存密评报告、未上报主管部门仅部署基础加密工具缺少身份认证、不可否认、密钥全生命周期管理等密码能力密码管理制度、岗位人员培训、应急处置机制缺失管理类指标大面积不达标重点行业未达到行业专项考核指标如电信商密应用覆盖率不足 30%。二落地实施建议制度先行梳理本单位信息系统定级、是否属于关键信息基础设施建立密码安全管理制度、密钥管理、人员管理全套文件项目前置管控信息化项目立项阶段同步编制密码应用方案将密评报告作为项目验收必备材料分级差异化建设一、二级系统按推荐要求完善密码能力三、四级系统 100% 落实所有 “应” 类强制指标常态化测评整改每年按期开展密评针对测评发现的中、高风险项制定整改方案闭环处置行业对标合规对照所属行业专项管理办法补齐行业特有密码防护要求满足行业年度安全考核标准。七、调研结论当前我国商用密码应用安全性评估已形成法律 行政法规 部门规章 行业规范 国家标准完整政策体系密评从可选合规动作转变为法定强制义务。关键信息基础设施、网络安全等级保护三级及以上系统、政务信息化平台是监管核心对象能源、金融、医疗、电信等行业出台细化考核标准监管力度持续收紧。各单位需严格遵循 GB/T 39786-2021 标准落实技术与管理双重密码防护要求执行 “三同步一评估” 机制按期完成年度密评并闭环整改风险避免因密码合规缺失面临项目停建、经费削减、行业考核扣分、行政处罚等后果。后续需持续跟踪国家密码管理局、各行业主管部门更新政策文件动态完善密码应用体系实现商用密码全生命周期合规管理。|注个人观点