密评的评估标准是什么？

1. 国家标准

密评工作主要依据以下国家标准：

• GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》：规定了信息系统从第一级到第四级的密码应用基本要求，是密评最重要的技术标准
• GB/T 37092-2018《信息安全技术 密码模块安全要求》：规定了密码模块的安全要求

2. 行业标准

密评实施过程中参考的密码行业标准：

• GM/T 0115-2021《信息系统密码应用测评要求》：对GB/T 39786-2021的细化和补充，规定了信息系统不同等级密码应用的测评要求
• GM/T 0116-2021《信息系统密码应用测评过程指南》：规定了密评的实施过程
• GM/T 0054-2018《信息系统密码应用基本要求》：等保测评中密码应用的部分参考标准
• GM/T 0133-2024《关键信息基础设施密码应用要求》：2024年12月27日发布，2025年7月1日起实施，专门针对关键信息基础设施的密码应用要求

3. 评估量化规则

密评采取打分制，通过标准为：

• 总分要求：应用技术要求70分 + 安全管理要求30分，总分不低于60分
• 高风险项要求：无高风险项（依据《信息系统密码应用高风险判定指引》）
• 单项要求：各项测评指标需达到基本合规要求

4. 法律法规依据

密评的法律法规依据包括：

• 《中华人民共和国密码法》：2020年1月施行，第二十七条规定了密评的法律要求
• 《商用密码管理条例》：2023年修订，国务院令第760号
• 《关键信息基础设施安全保护条例》：国务院令第745号
• 《关键信息基础设施商用密码使用管理规定》：2025年6月11日发布，2025年8月1日起施行，国家密码管理局、国家互联网信息办公室、公安部令第5号