密评从2018年开始启动、逐步推进，伴随着《密码法》、新版《商用密码管理条例》等法律法规的施行，以及其他密评相关的标准规范发布，其制度体系建设基本完善，密评工作亦进入常态化实施阶段。2022年，全国金融标准化技术委员会基于国家标准GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》发布了金融行业信息系统商用密码应用的三项行业标准，为密码应用与评估要求在金融领域的落地奠定了基础。

密码应用安全性评估的标准和指导文件体系

密评实际上是建立在风险控制基础上的测评，是检验密码应用是否合规、正确、有效，是否将信息系统的网络安全风险控制在可接受范围内的量化评价。其中，在信息系统规划阶段，针对密码应用方案的编制与评估，是后续密码应用工作能否顺利开展的关键。

三同步一评估

编制密码应用方案是信息系统规划阶段中最重要、也是最困难的环节，往往需要业务专家和密码专家协作完成。编制密码应用方案应充分考虑以下环节与要素：

密码应用方案编制环节可“三步走”

第一步：明确“用密码保护谁？”

从环境、网络、设备、数据四个层面，划定密码应用的系统范围边界；梳理系统业务流程，识别和确认保护对象；对业务数据分类分级，澄清在给定业务中要保护的“重要数据”所在。

第二步：明确“用密码保护到什么效果？”

从风险控制的角度来看，就是采用密码技术手段，把业务风险控制在可接受范围之内。因此，要通过风险分析确定保护对象面临的各类网络安全风险，并予以分级，结合风险的分级做出风险控制决策，从而形成针对真实性、机密性、完整性、不可否认性的密码应用需求。密码应用需求的最终决策方是信息系统责任单位，在合规的前提下，金融机构要有决断，是所有风险都应对，还是合理设定风险可接受的界限（涉及“高风险判定指引”中的高风险问题是一定要应对的）。

第三步：明确“用密码怎么保护？”

确定了密码应用需求，即可针对性设计密码应用措施，形成密码应用技术架构，并进一步确定密码应用产品或服务的规格。完成上述任务后，依照标准的自评估是必要的，这既是对采取相应措施后，是否已经“将风险控制在可接受范围内”的复盘，也是对方案是否能够顺利通过评估的自我考量。

编制密码应用方案“三步走”