1.关于密评

商用密码应用安全性评估简称"密评"，是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

2.应用

密码应用与用户的业务系统有着紧密的联系。密码应用方案设计必须服务于业务系统“用好商用密码，商用密码好用”这一目标。目前，密评依据的主要技术标准是：GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》。根据该要求，新建信息系统应遵循“同步规划、同步建设、同步运行密码保障系统并定期进行评估”原则；已建设运行的信息系统应根据相关标准规范进行安全升级。

3.要求

《网络安全法》和《密码法》明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统要开展密评工作。并且，密评管理办法也明确规定：关键信息基础设施、网络安全等级保护第三级及以上信息系统，需要每年至少评估一次。

4.法律法规依据

《密码法》第三十七条第一款指出：关键信息基础设施的运营者未按照要求使用商用密码，或者未按照要求开展密评的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

5.管理办法

《国家政务信息化项目建设管理办法》第二十八条第三款也有提到：对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

6.规范

近年，全国多省正在不断将密码应用要求纳入行业管理规范和工作计划，如：

《广东省政务信息化项目建设管理办法》、《河南省政务云管理办法》、《江西省政务信息化项目建设管理办法》、《吉林省政务信息化项目建设管理办法》、《广西政务信息化项目建设管理办法》，均提到了要按要求采用密码技术和定期开展密评。