不做密评，寸步难行——解读新规下海南政务信息系统密码应用安全评估的要求与深远意义

不做“密评”

寸步难行！

　　商用密码应用安全性评估（简称“密评”）是指对网络与信息系统中商用密码应用的合规性、正确性、有效性进行全面检测与分析，确保密码技术能真正发挥“保数据安全、护系统根基”的核心作用。这项评估已成为《密码法》规定的法定责任。

1.关键信息基础设施系统

《中华人民共和国密码法》第二十七条明确规定：关键信息基础设施运营者必须使用密码进行保护，并自行或委托专业机构开展密评。这包括能源、交通、水利、金融、公共服务等重要行业领域的核心系统。

2.网络安全等级保护三级及以上系统

根据《商用密码应用安全性评估管理办法》和《网络安全等级保护条例》，等保三级及以上网络必须每年至少开展一次密评，且系统上线前必须通过首次评估。

3.面向社会服务的政务信息系统

《海南省省级政务信息化项目建设管理办法》要求，对于新建、扩建、改建政务系统（等级保护二级及以上的系统），项目建设单位必须提交密码应用安全性评估报告作为项目验收的必要材料。

4.海南重点领域全覆盖

根据我省规划，将在全岛封关运作前实现政务、金融、交通、电力、医疗等关键领域密码应用全覆盖。这意味着相关企业系统无论是否达到等保三级，都将纳入密评范围。

1.不符合GB/T 39786-2021标准要求的所有政务信息系统都应及时进行密码应用改造，其中等保三级及以上政务信息系统应在封关运作前(2025年底前)完成密码应用改造并通过商用密码应用安全性评估。

2.等保二级政务信息系统应在2027年底前完成密码应用改造并通过商用密码应用安全性评估。

3.新建、改建或扩建政务信息系统(既包括等保三级及以上政务信息系统，也包括等保二级政务信息系统都应严格遵循密码应用“三同步一评估”的要求。

改建或扩建政务信息系统的，如拟改建或扩建的原政务信息系统未通过商用密码应用安全性评估的，应在项目规划设计阶段针对整个系统(包含改、扩建前的部分和拟改。

《办法》则在多个关键环节强化了密评的法定地位和强制约束力，将其作为项目全流程管控的“标配”动作：

1.规划与设计阶段：

强制编制密码应用方案：新建、升级改造信息系统的项目，必须在规划设计阶段同步编制密码应用方案。

方案深度要求：总投资100万元及以上的项目，需在初步设计及概算阶段编制单独成册的密码应用方案。

2.项目审批阶段：

评估与备案是审批前提：项目单位需自行或委托商用密码检测机构对密码应用方案进行商用密码应用安全性评估，并在申请初步设计及概算审批时，必须提交密码应用方案评估报告和密码管理部门出具的备案回执。材料不全或不符，审批部门可不予受理！

3.项目建设阶段：

按评估方案施工：项目单位应按照通过商用密码应用安全性评估的密码应用方案组织实施，落实商用密码安全防护措施。

变更同步更新：重大变更若涉及密码应用，同样需要履行评估与备案程序。

4.项目验收阶段：

验收必备材料：申请竣工验收时，必须提供评估结论为“基本符合”及以上的商用密码应用安全性评估报告和密码管理部门出具的备案回执。

整改要求严格：对评估发现的网络安全风险隐患和安全问题，必须落实整改措施并出具相应整改报告。

“不通过”硬指标：未按要求完成密码应用改造并通过商用密码应用安全性评估的，竣工验收评审结论可直接判定为“验收不通过”。

5.运维管理阶段：

定期评估常态化：项目建成运行后，项目单位必须定期开展商用密码应用安全性评估，针对问题及时整改。

安全隐患“零容忍”：对于项目运行不符合密码应用要求、存在重大安全隐患且未整改的系统，主管部门将出具意见反馈财政部门，结果将是：不安排运行维护经费！后果由项目单位承担。

忽视密评要求，相关责任人将会面临处罚：

《商用密码应用安全性评估管理办法》

第十七条【程序罚则】重要网络与信息系统的运营者违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定有下列情形之一的，由密码管理部门责令改正，给予警告:拒不改正或者有其他严重情节的，处 10 万元以上 100 万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款:

1.重要网络与信息系统规划阶段，未对商用密码应用方案进行商用密码应用安全性评估的;

2.重要网络与信息系统建设阶段，未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的；

3.重要网络与信息系统运行前，未开展商用密码应用安全性评估的:

4.重要网络与信息系统运行前，未通过商用密码应用安全性评估且未进行改造的；

5.重要网络与信息系统建成运行后，未定期开展商用密码应用安全性评估的;

6.重要网络与信息系统建成运行后，未通过定期开展的商用密码应用安全性评估且未进行改造的:

7.违反法律法规、标准规范要求开展商用密码应用安全性评估的:

8.不符合相关要求自行开展商用密码应用安全性评估的。

忽视密评要求，将给项目建设单位带来一系列难以承受的严重后果：

《海南省省级政务信息化项目建设管理办法》

项目审批“卡壳”：无法获得初步设计及概算或可行性研究报告的批复，项目前期工作停滞，无法进入建设阶段。

项目竣工验收“一票否决”：无法通过竣工验收，意味着项目无法正式交付使用，前期投入可能付之东流。

运维经费“断供”：存在重大密码安全隐患且未整改的系统，将被停拨运行维护经费，系统将面临“带病运行”甚至被迫停运的风险。

新建/改造项目申报“受限”：未按要求完成现存系统密码应用改造并通过评估的，原则上不得申报新建、升级改造项目，严重影响单位信息化发展进程。

安全责任事故风险剧增：缺乏有效密码保护的系统，极易成为网络攻击的突破口，可能导致敏感数据泄露、业务中断或被篡改、甚至危害国家安全，相关单位和责任人将面临严肃的法律法规追责和党纪政纪处分。

绩效评价与未来立项“受影响”：未通过密评或存在密码安全隐患的项目，其绩效评价结果必然不佳，将严重影响单位后续项目的年度计划申报、立项审批及资金安排。

《办法》的发布，标志着海南省对政务信息系统密码安全保障的要求达到了前所未有的高度。各政务单位务必：

深入学习领会：组织相关人员认真学习《办法》全文，特别是关于密码应用和密评的各项条款。

纳入全流程管理：在项目谋划、设计、审批、建设、验收、运维等全生命周期各环节，将密码应用方案编制和商用密码应用评估作为强制性、前置性工作来落实。

强化主体责任：项目单位是密码应用安全的第一责任人，必须建立健全密码管理制度，保障密码应用合规有效。

加强沟通协调：主动与省密码管理局、省发展改革委、省营商环境建设厅等主管部门沟通，及时了解政策动态和具体要求。

选择合规机构合作：委托具有国家认可资质的商用密码检测机构进行密评，确保评估结果的有效性和权威性。