导读：一组数据揭开密评的真实面目

首次通过率不足40%。这是过去三年全国商用密码应用安全性评估（简称"密评"）的真实通过率数据。换句话说，超过六成的企业在第一次密评中铩羽而归——要么被打回整改，要么被通报批评，要么面临项目叫停。而整改一次的平均成本，往往是初始投入的1.5到2倍。

这个数字背后，是一个正在急速收紧的政策窗口。2020年1月1日《密码法》正式实施，2023年《商用密码管理条例》完成修订，国家密码管理局的执法力度逐年加码。据公开数据统计，2023年全国累计完成密评系统数量较2021年增长超过300%，各省市密评推进已从"试点探索"进入"全面铺开"阶段。广东、北京、浙江、上海等地更是将密评完成率纳入政务信息化项目的硬性考核指标。

然而，大多数企业对密评的认知仍停留在"听说过，没搞懂"的阶段。根据某行业咨询机构2023年调研数据，78%的受访企业对密评流程、评估标准和整改要求认知不足。不少企业误以为"等保过了就不用做密评"，或者"买了密码产品就能通过"，最终在正式测评时才发现问题远比想象中复杂。

这篇文章，就是为了解决这个问题而写的。作为一份超过24000字的深度实战指南，我们将从政策法规、核心概念、技术架构、全流程拆解、产品选型、复杂场景攻坚、持续合规运营到趋势展望，完整覆盖企业密评从启动到通过的每一个关键环节。每个章节都配有真实案例、数据表格、操作步骤和避坑指南，目标只有一个：帮你的企业一次通过密评认证。

无论你是刚接到密评任务的项目负责人，还是正在进行密码改造的技术团队，或是需要向管理层汇报密评规划的信息化主管——这篇文章都值得你从头读到尾，然后收藏备用。

现在，让我们从"为什么必须做密评"开始。

---

第1章：密评时代来临——为什么你的企业必须重视商用密码合规？

如果你只有时间读一章，读这一章。它将帮你搞清楚三个根本问题：政策要求是什么、你的企业是否必须做、以及最容易踩的坑在哪里。

1.1 政策高压下的密码安全新格局

理解密评，必须先理解它背后的政策逻辑链。密评不是凭空冒出来的合规要求，而是国家密码安全战略层层推进的必然结果。这条政策链从立法到标准、从中央到地方，已经形成了一张严密的监管网络。

第一块基石：《中华人民共和国密码法》。2020年1月1日正式实施的《密码法》，是中国密码领域的第一部基本法律。它的核心意义在于将商用密码从行政管理上升到法律治理。《密码法》第二十七条明确规定：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。第三十四条则规定了违反者将面临的法律后果——责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款。

第二块基石：《商用密码管理条例》2023年修订版。这部条例的修订进一步细化了密评的执行层面。修订后的条例明确了商用密码应用安全性评估的制度框架，强化了密码产品认证要求，并对检测认证机构的资质和责任进行了更严格的规定。关键变化包括：取消了商用密码产品品种和型号审批，转为产品认证和进出口许可管理；明确了关键信息基础设施必须使用经检测认证合格的商用密码产品和服务。

第三块基石：GB/T 39786-2021《信息系统密码应用基本要求》。如果说《密码法》回答了"要不要做"的问题，这部国家标准就回答了"怎么做"和"做到什么程度"的问题。GB/T 39786是密评测评的核心依据标准，它从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术维度，以及密码管理维度，对信息系统的密码应用提出了详细的安全要求。密评机构进行测评时，逐条对照的就是这部标准。

从执法实践来看，国家密码管理局近三年的监管力度呈明显上升趋势。2022年起，多个省份密码管理部门开始对未按要求完成密评的政务信息系统进行通报。某省级政务云平台就曾因未通过密评被省密码管理局通报整改，该平台涉及全省数百个政务应用，通报后被要求在6个月内完成全面整改并重新测评，直接影响了十余个在建项目的验收进度。

等保2.0与密评的协同关系，更值得关注。网络安全等级保护（等保2.0）在2019年发布的GB/T 22239-2019标准中，已将密码应用作为重要评测内容纳入。等保三级及以上系统在进行等级保护测评时，密码应用安全性评估结果会被直接引用。换言之，密评不再是一个"可选项"，而是等保合规的组成部分。从"建议做"到"必须做"，这个转变在2021年至2024年间已经全面完成。

法律法规/标准	发布/实施时间	核心要求	适用范围
《中华人民共和国密码法》	2020年1月1日实施	关键信息基础设施须使用商用密码保护，并开展密码应用安全性评估	所有使用商用密码的组织和个人
《商用密码管理条例》（2023修订）	2023年7月20日实施	强化密码产品认证制度，明确检测认证机构资质要求，细化法律责任	商用密码的科研、生产、销售、检测认证、使用等活动
GB/T 39786-2021	2021年10月1日实施	信息系统密码应用四大技术维度+管理维度的基本要求	等保一级至五级信息系统
GM/T 0054-2018	2018年发布	信息系统密码应用方案的编制规范与技术要求	信息系统密码应用方案设计
GM/T 0115-2021	2021年发布	信息系统密码应用测评要求，密评机构执行测评的操作规范	密评测评机构与被测评单位
GB/T 22239-2019（等保2.0）	2019年12月1日实施	网络安全等级保护基本要求，密码应用纳入测评内容	等保三级及以上信息系统（密评结果直接引用）

从政策演进的时间线来看，2019年至2025年是密码合规体系从构建到全面执行的关键窗口期。2019年等保2.0发布，首次将密码应用纳入等级保护框架；2020年《密码法》实施，奠定法律基础；2021年GB/T 39786发布，明确技术标准；2023年《商用密码管理条例》修订，完善制度体系；2024-2025年，各省市密评推进进入"清零攻坚"阶段。留给企业的准备时间，已经不多了。

1.2 哪些企业必须做密评？行业覆盖与等级要求

"我们公司到底需不需要做密评？"这是我在咨询工作中被问到最多的问题。答案取决于两个核心判定条件：你的信息系统是否属于等保三级及以上，以及你是否属于关键信息基础设施运营者。

强制密评的第一条线：等保三级及以上信息系统。根据GB/T 39786-2021标准以及等保2.0的衔接要求，等保三级及以上的信息系统在进行等级保护测评时，密码应用安全性评估结果将作为重要参考。实操层面，各地密码管理部门已将等保三级以上系统纳入密评强制推进范围。如果你的系统已经定级为三级或以上，密评基本属于"必答题"。

强制密评的第二条线：关键信息基础设施（CII, Critical Information Infrastructure）。《密码法》第二十七条明确要求，关键信息基础设施运营者应当使用商用密码进行保护，并开展密码应用安全性评估。关基涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。

从行业分布来看，当前密评推进力度最大的七个行业各有其监管特点：

政务行业是密评推进的"排头兵"。据公开数据统计，2023年全国已完成密评的系统中，政务类系统占比超过60%。国家层面要求中央和省级政务信息系统率先完成密评，地市级政务系统随后跟进。多个省份已发文明确要求所有省级政务信息系统在规定时间内完成密评。

金融行业排在第二位，占比约20%。人民银行、银保监会对金融机构的密码应用有额外的监管要求。网银系统、手机银行、支付系统、征信系统等核心业务系统均属于密评重点对象。金融行业的特殊之处在于"双重监管"——既要满足国家密码管理局的密评要求，又要满足金融行业主管部门的合规要求。

能源行业涉及电力、石油、天然气等关键基础设施，工控系统（ICS, Industrial Control System）的密码应用保护是重点。医疗行业近年来密评推进明显加速，HIS系统（Hospital Information System，医院信息系统）、电子病历系统、医保结算系统等涉及大量患者隐私数据，密码保护需求迫切。某三甲医院就曾因HIS系统未采用合规密码技术进行身份鉴别和数据保护，在安全检查中被发现患者数据存在泄露风险，被要求限期完成密码应用整改。

教育行业的高校信息系统、统一身份认证平台，交通行业的ETC系统、智慧交通平台，电信行业的核心网络管理系统等，也已陆续纳入密评推进范围。

从地域差异来看，各省市的密评推进节奏并不一致。广东省2024年密评任务指标明确要求完成一定数量的重点系统密评，并将完成情况纳入数字政府建设考核；北京市在政务云平台层面率先实现密评全覆盖；浙江省将密评与"数字化改革"深度绑定；上海市则在金融领域密评推进方面走在前列。总体趋势是：一线城市和经济发达省份走在前面，中西部省份正在加速跟进，预计2025年将基本实现重点行业全覆盖。

还有一个容易被忽略的问题："自愿"与"强制"的边界。对于不属于等保三级以上、也不属于关基范畴的系统，密评目前确实不是强制要求。但从行业趋势来看，密评覆盖范围正在持续扩大。许多行业主管部门已经开始在项目验收、安全审查中参考密码应用情况。对于有前瞻性的企业来说，主动开展密评不仅能规避未来的合规风险，还能在招投标、合作伙伴评估中形成差异化优势。

上一条：LED大屏与拼接屏选型指南：企业展厅与指挥中心显示方案

下一条：企业混合云架构设计：公有云与私有云的最佳融合方案