密評六大基礎問題解答
商用密碼應用安全性評估，以下簡稱密評：
Q1：運營單位怎么判定是否需要開展商用密碼應用安全性評估？
1）《密碼法》第二十七條
法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。
2）《商用密碼應用安全性評估管理辦法（試行）》第三條、第二十條
涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位（以下簡稱責任單位）應當健全密碼保障體系，實施商用密碼應用安全性評估。
重要領域網絡和信息系統包括：基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制 系統、面向社會服務的政務信息系統，以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。
第三條規定范圍之外的其他網絡和信息系統，其責任單位可以參考本辦法自愿開展商用密碼應用安全性評估。
Q2：重要領域網絡和信息系統有哪些？
基礎信息網絡：電信網、廣播電視網、互聯網。
重要信息系統：能源、教育、公安、測繪地理信息、社保、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統。
重要工業控制系統：核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統。
面向社會服務的政務信息系統：黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的信息系統。
Q3：不做密評或測評結果不合格有什么影響？
《密碼法》第三十七條第一款規定：關鍵信息基礎設施的運營者違反本法第二十七條第一款規定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。
《國家政務信息化項目建設管理辦法》第二十八條第三款規定：對于不符合密碼應用和網絡安全要求，或者存在重大安全隱患的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統。
《商用密碼應用安全性評估管理辦法（試行）》第二章第十條規定：關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年至少評估一次。
Q4：剛接觸商密并不熟，系統要進行商密改造，到底怎么改，有參考的標準或依據嗎？
目前參考的標準和依據主要是GM/T0054《信息系統密碼應用基本要求》，其他新建和改造方案要求和指導文件正在制定中。
如果剛接觸商密并不熟，可委托第三方進行方案設計，方案完成后需經過專家論證或者測評機構評審。方案應包含密碼應用設計方案、實施方案和應急方案三部分。
Q5：信息系統密評如何定級？實施流程怎么樣？
目前密評系統的定級參照等級保護的系統定級。
實施流程主要包括：前期準備，主要是責任單位信息收集和系統自查，具體時間要根據被測單位準備進度來定；現場測評，測評方案由測評機構根據信息采集表內容在入場前制定完成，測評方案將于前期準備同步進行。
責任單位越重視，負責層級越高，配合程度越高，時間越短；反之，越長。系統規模越大，時間越長；反之，越短。
Q6：取得了商用密碼應用安全性評估報告后應向哪些部門和機構進行備案？
根據現有規定，責任單位取得報告后，被測單位自行上報主管部門及所在地區（部門）密碼管理部門備案，測評機構上報國密局備案；
等保三級及以上信息系統，評估報告還需由被測單位上報至所在地區公安部門備案。


fda認證證書要多少費用,FDA注冊流程詳解
信息系統建設和服務申請要求及流程與其必要性
IEC60945-2002標準的測試項目
tl9000質量管理體系哪里查詢,TL9000認證在非電信行業的適用性
厲害！這篇文章，把標準化講透了
企業質量誠信評價認證 企業認證條件流程及好處
辦理3c認證需要多少錢,3c認證申請收費標準
實施ISO14001認證基本步驟