《中华人民共和国密码法》

2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过，于2020年1月1日起正式施行。

第二十七条

法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

密码应用安全性评估的主要内容

密评的对象是采用商用密码技术、产品和服务集成建设的网络与信息系统，评估的内容包括密码应用安全的三个方面：合规性、正确性和有效性。

商用密码应用合规性评估

商用密码应用合规性评估是指信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。

商用密码应用正确性评估

商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确，即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现，自定义密码协议、密钥管理机制的设计和实现是否正确，安全性是否满足要求，密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

商用密码应用有效性评估

商用密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息系统的安全需求，是否切实解决了信息系统面临的安全问题。

商用密码应用与安全性评估通常称为“密评”，依据《中华人民共和国密码法》等规定，按照有关管理规范和技术标准，对采用商用密码技术、产品和服务集成建设的网络与信息系统中对其密码就用的合规性、正确性、有效性等进行评估。

依据通过评审的密码应用方案和GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》等标准，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面开展评估。