商用密码应用安全性评估FAQ（第四版）新增问题学习与理解

引言

      2026年3月31日，中国密码学会密评联委会正式发布《商用密码应用安全性评估FAQ（第四版）》。该指导文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题以及疑难问题进行归类了整理和解答，以帮助相关人员更好开展商用密码应用与安全性评估工作。作为密评领域最核心、最权威的测评实操指引文件，第四版FAQ的发布不仅是对过往实践的总结，更是对《密码法》《商用密码应用安全性评估管理办法》以及GB/T39786、GB/T43206等核心标准的精准细化与动态响应。本文将从密评发展脉络、FAQ版本演进、新增要点及实践认知四个维度，进行系统性学习与解读，结合本人在密评一线工作实践中的经验教训进行分享，为密评机构、测评人员及信息系统运营单位以及责任主体提供参考。

一、 密评的发展历程与FAQ的发布历程

（一）商用密码应用安全性评估（密评）发展历程

      我国密评工作的演进，是一部政策驱动、标准引领、实践迭代的规范化、体系化建设史，大致可分为四个关键阶段：

1、萌芽探索期（2007-2017年）

起点：2007年，国家密码管理局印发《信息安全等级保护商用密码管理办法》，首次将商用密码应用与等级保护挂钩，奠定了密评的制度雏形。

试点启动：2017年，国家密码管理局发布了《商用密码应用安全性评估管理办法（试行）》《关于开展密码应用安全性评估试点工作的通知》，在七省五行业启动密评试点，正式拉开密评试点工作的序幕。

2、标准建设期（2018-2020年）

核心标准出台：2018年2月，密码行业标准GM/T0054-2018《信息系统密码应用基本要求》发布，成为密评工作的首个核心技术依据标准。

国标升级：2021年，0054升级为GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》，标志着密评技术体系从行业规范上升为国家标准，评估框架更趋科学化、严谨化、标准化、规范化。

3、法治规范期（2021-2023年）

法律基石：2020年《中华人民共和国密码法》颁布实施，明确要求“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

管理办法：2023年9月，国家密码管理局发布第3号令《商用密码应用安全性评估管理办法》，自2023年11月1日起施行，密评工作全面进入法治化、强制化、规范化轨道。

4、深化应用期（2024年至今）

      随着《关键信息基础设施商用密码使用管理规定》（2025年8月施行）等配套文件出台，以及云计算、物联网、工业互联网等新业态涌现，密评工作从“合规达标”向“精准防控、风险共治、效能提升”的高质量发展阶段迈进。

（二）《商用密码应用安全性评估FAQ》发布历程

      为解决密评工作开展过程中标准执行与理解认知偏差、测评实操争议和判定边界模糊问题，中国密码学会密评联委会自2021年起，组织业务主管部门、密评机构以及业界各方专家研究讨论，持续研究迭代发布FAQ指引，形成四版演进脉络：

1、第一版（2021年12月）：FAQ首发版。配合GB/T39786-2021国标实施，聚焦通用、技术、管理、特殊场景等基础问题，建立了密评测评实施开展过程中常见问题与解答的基本框架。

2、第二版（2022年8月）：对第一版进行首次修订。补充了量化评估、风险判定等实操细节，优化了部分问题表述，回应了试点后期密评机构以及行业用户集中反馈的共性问题。

3、第三版（2023年10月）：适配3号令《商用密码应用安全性评估管理办法》出台，在问答内容层面进行了大幅扩充，指引角度更加宽广，解答也更加权威。完善了测评对象识别、密码产品合规、云平台、分期改造系统等复杂场景判定，同事对问题进行了归类和分类，全文框架结构优化为六大类。

4、第四版（2026年3月）：最新版本、全面升级版。结构重组、新增独立章节、全面对接GB/T43206-2023新标准，直击云服务、工控、医疗、自建CA等前沿与痛点场景。对密评机构和业界厂商以及运营方和责任主体更有实际的指导意义。

二、 各版本FAQ的主要内容对比

（一）核心结构演进

（二）各版本核心内容要点

1、第一版（2021）

聚焦基础概念：明确密码应用基本要求等级、密码产品模块等级对应关系。

解决基础合规：密码产品合规性、密钥管理安全、代码实现加密、组合算法评估等核心判定。

覆盖基础场景：物理环境、网络通信、设备计算、应用数据、密钥管理、安全管理六大层面。

2、第二版（2022）

强化量化：首次系统明确量化评估规则，解决“打分怎么打、风险怎么算”。

细化判定：完善开源/自研代码加密、电子门禁记录完整性、双活机房通信等判定细节。

优化边界：补充无管理权限接口、跨单位系统等复杂场景处理原则。

3、第三版（2023）

适配法规：全面呼应《密评管理办法》，明确方案评估与系统评估的衔接要求。

场景深化：新增云平台测评、分期改造系统、成熟度极低系统等复杂场景。

风险升级：独立“风险判定类”，明确高/中/低风险判定标准与缓解原则。

标准更新：引用最新量化评估2023版规则，统一判定口径。

4、第四版（2026）

结构革新：新增“整体测评类”，将测评全流程逻辑化、体系化。

标准升级：全面依据GB/T43206-2023《信息安全技术 信息系统密码应用测评要求》替代GM/T0115旧版标准。

内容扩充：新增14个核心问题，修改12项，删除4项，覆盖云平台超期、行业标准冲突、无感加密、自建CA等实际应用场景需求痛点。

三、 第四版FAQ新增部分解读

      第四版FAQ是一次结构性重塑与内容性革命，核心新增与修订内容直击密评实践中的“堵点、难点、盲点”。作为长期深耕密评一线的密评从业人员，我结合各行业信息系统测评实践经验，通过对第四版FAQ的深入学习与分析总结，从FAQ第四版的核心价值与实践导向有以下理解和认识。

（一）结构创新：新增“整体测评类”，构建全流程闭环

核心价值：首次将“整体测评”独立成章，将密评从“逐项指标检查”升级为“全系统、全生命周期、全风险链”的综合研判。

新增要点：

明确测评范围精准划定：区分核心业务区、非核心区、互联接口，避免“全覆盖、无重点”。

规范测评实施流程：方案核查→现场取证→符合性判定→风险分析→报告编制的标准化路径。

强化测评证据链管理：强调“客观凭据优先”，杜绝主观推断，确保评估结果可追溯、可再现。

（二）标准升级：全面对接GB/T43206-2023

核心变化：所有测评依据从旧版GM/T0115全面切换为GB/T43206-2023。

解读：新标准在测评方法、证据要求、风险判定上更严谨。第四版FAQ据此统一了所有问题的判定口径，例如：

细化密码产品合规性核查要点：不仅查证书，更查证书有效性、产品型号匹配、模块等级对应、实际部署策略一致性。

明确密钥管理测评深度：覆盖密钥生成、存储、备份、归档、分发、使用、销毁全生命周期，特别强化“密钥在产品外管理”的保护要求。

（三）技术合规：直击前沿技术与边界场景痛点

1、自建CA签发证书合规性（新增问题 8）

判定规则：自建CA必须同时满足：①使用经认证的商用密码产品构建；②具备完整的证书生命周期管理（申请、审核、签发、更新、撤销、归档）；③符合国家密码管理相关规定。

指导意义：明确企业自建CA并非“禁区”，但必须合规建设、规范管理，杜绝“黑盒CA”。

2、无改造/无管理权限接口评估（新增问题 9）

判定规则：对责任方不在本系统范围、无改造权、无管理权的外部互联接口，不能仅仅据此就论证为“不适用”指标。

指导意义：解决长期存在争议的“第三方通道无法整改是否算不合规”或“不适用”的问题，明确了可根据系统客观实际情况，酌情采用非关键证据对系统指标进行判定。并结合实际安全控制措施进行风险分析。

3、“无感”整体加密场景判定（技术类新增）

判定规则：在应用和数据安全层面，重要数据的存储机密性和传输机密性，对于该项指标实现的符合性判定，应以信息系统是否对数据资源本身进行加密为准。即以数据资源（信源）是否加密为准。

指导意义：①数据整体物理层加密（磁盘加密），仅能防止设备或存储介质被窃取或复制时可能导致的数据泄露风险。应结合系统实际安全需求，进行全面的风险分析；②采用数据库透明加解密，实现了细粒度访问控制，用户数据互相隔离的情况下，密码使用有效性可判定为符合即（D）为“√”；③在对数据资源本身进行加密的情况下，密码使用有效性可判定为符合即（D）为“√”。

（四）风险判定：引入弹性与底线思维

1、有缓解措施的高风险判定（新增问题32）

判定规则：高风险指标并非一票否决。若存在有效、可控、可验证的管理/技术缓解措施（如严格权限管控、审计溯源、定期渗透测试等），且能将风险降低至可接受水平，则风险可降级判定。

指导意义：①缓解措施通过评估并确认有效，可酌情降低风险等级，测评结论可能发生变化，测评分数保持不变；②特殊行业场景（如工控、医疗）不支持直接改造，高风险判定指引中提到的通用要求和缓解措施无的情况下，不能直接依据“采用了严格的管理措施”来缓解风险。

2、非高风险指标使用高风险算法判定（新增问题35）

判定规则：若某个非高风险指标（如日志存储完整性）使用了MD5、SHA-1、DES等高风险算法，不能直接依据使用了高风险算法判定为高风险，仍按指标原来的风险等级进行判定。

指导意义：使用的密码算法、技术或产品本身存在的风险等级，不等同于测评指标项的风险等级。

（五）特殊场景：覆盖云、行业、超期报告等新业态

1、云平台/密码服务平台超期报告复用（新增问题37）

核判定则：云平台、密码服务平台的密评报告有效期满未复评的，租户的云上应用/服务不得复用其结论，仍需单独对云平台侧相关指标进行补充测评，或要求云平台服务商完成复评。

指导意义：明确信息系统（含云平台）应定期开展密评，压实云服务商与租户的双重责任。

2、行业标准与国标冲突处理（新增问题41）

判定规则：测评指标由国标基本指标（GB/T39786）+行业特殊指标构成。行业标准不应与国标抵触，特殊指标参与测评实施并进行符合性判定与风险分析，但特殊指标不参与量化评估。但特殊指标的风险分析结果可能影响整体测评结论。

指导意义：解决了金融、电力、医疗等行业“行标与国标不一致”的情况，确立国标为底线、行标为补充的原则。

结语

     《商用密码应用安全性评估FAQ（第四版）》的发布，是我国商用密码应用安全性评估工作迈向成熟、精准、高效的重要里程碑。它不仅是一份指导性技术规范和密评实操工具手册，更是一份理念宣言——标志着我国密评工作从“合规达标”的初级阶段，全面迈入“风险共治、精准防控、高质量发展”的新阶段。

      对于全行业而言，唯有深刻理解、精准执行第四版FAQ的核心精神，才能真正将商用密码筑牢为网络安全的“最后一道防线”，为数字中国建设提供坚实的密码安全保障。

      由于本人水平有限，理解和认知难免有偏离，恳请各位提出宝贵意见，欢迎各位同行交流探讨。FQA第四版的最终解释权归中国密码学会密评联委会。