依法开展密评,保障关键信息基础设施和等保三级及以上系统的商用密码应用合规性、正确性和有效性,助力您顺利通过国家密码管理部门的合规审查。
密评合规
合规 · 正确 · 有效
密码技术产品服务合规
密码应用流程机制正确
密码保障系统有效运行
满分100 ≥60分且无高风险
商用密码应用安全性评估(简称"密评"),是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
密评的法律依据包括《中华人民共和国密码法》、《商用密码管理条例》、《商用密码应用安全性评估管理办法》(国家密码管理局令第3号)等,评估标准主要依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》。
基本合格
得分 ≥ 60分且无高风险项
不合格
得分 < 60分 或 存在高风险项
评估频率要求
每年至少 1 次
关键信息基础设施、等保三级及以上系统
依据 GB/T 39786-2021 标准,从以下四个技术层面和两个管理层面全面评估
评估机房门禁、监控等物理安全措施中密码技术的应用情况,确保物理环境中的身份鉴别、数据完整性等满足要求。
评估通信传输过程中的机密性、完整性保护,安全接入认证机制,网络边界密码应用等。
评估设备身份鉴别、系统资源访问控制信息完整性、日志记录完整性等密码应用。
评估应用系统身份鉴别、访问控制、重要数据传输与存储的机密性、完整性及不可否认性。
评估密钥生成、分发、存储、使用、更新、归档、撤销和销毁全生命周期的安全性与合规性。
评估密码管理制度、人员管理、设备管理、密钥管理等制度体系的完整性与执行情况。
了解系统基本情况,确定评估范围和对象,收集资料,制定评估计划
确定评估指标,编制评估实施方案,明确测试方法和工具
开展现场访谈、配置检查、工具测试和数据采集,逐项判定评估指标
汇总分析评估结果,量化评分,编制密评报告,并协助完成备案
违反《密码法》等法律法规,面临行政处罚甚至刑事追责
未通过密评的系统不得投入运行,改造期间必须停运
政务信息化项目验收、资金申报等环节无法通过审批
密码应用不规范导致数据泄露、系统被攻击等安全风险
具备CCRC信息安全服务资质、ISO9001质量管理体系认证,专业人员持有CISSP、CISA、CISP等国际国内认证
拥有多年商用密码领域实战经验的专家团队,熟悉GB/T 39786、GM/T 0115等标准体系,累计服务1000+大型客户
通过持续提升技术效率,在保证专业度前提下提供高性价比方案,让合规不再是负担
从方案评审到现场测评,从整改指导到报告备案,一站式服务全程跟进,确保顺利通过密评