密评（商用密码应用安全性评估）

密评的全称，商用密码应用安全性评估，是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。 即按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

依据密码法：

第六条　国家对密码实行分类管理。          密码分为核心密码、普通密码和商用密码。

第七条　核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。            核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

第八条　商用密码用于保护不属于国家秘密的信息。          公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

第三十七条　关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。        关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

测评内容：

国标《GB/T 39786-2021信息安全技术信息系统密码应用基本要求》，或即将发布的航标《GM/T 0115-2021 信息系统密码应用测评要求》要求进行测评，简单分为通用要求，技术要求和管理要求，

其中通用要求包括：密码算法，密码技术以及密码产品和服务；

技术要求包括：物理和环境，网络和安全，设备和计算以及应用和数据四个层面；

管理要求包括：管理制度，人员管理，建设运行以及应急管理四个层面。

具体测评内容可参考GB/T 39786-2021和GM/T 0115-2021以及相关配套文件.