不少企业做密评时总踩坑：要么不清楚 “按什么标准评”，用了境外算法被打回；要么没搞懂 “流程怎么走”，上线前才突击启动，整改返工花了近 3 个月 —— 其实密评的标准和流程都有明确依据，只要按 “合规标准对齐 + 流程分步落地” 来做，就能大幅减少麻烦。

今天从非技术视角，把密评的 “核心标准” 和 “实操流程” 讲透，不管是开发团队对接合规，还是企业管理者把控进度，都能清晰掌握关键节点，避免走弯路。

一、先搞懂：密评要符合哪些标准？合规 + 技术双底线

密评不是 “凭感觉评”，所有评估都围绕 “法规要求” 和 “技术规范” 展开，这两条是必须守住的底线。

1. 法规依据：明确 “必须做什么”，不踩合规红线

这 3 部法规是密评的 “根本遵循”，直接决定项目能不能过：

• 《密码法》：划范围、定要求 —— 只要是涉及国家安全、国计民生的系统（比如金融 APP、医院病历系统、政务平台），必须做密评；没通过就上线，轻则罚款，重则暂停业务。

• 《商用密码应用安全性评估管理办法》：明规则、定主体 —— 密评必须找国家认可的 “测评机构” 做，报告要报省级以上密码管理部门备案，非认可机构出的报告无效。

• 《GB/T 35273-2020》：技术总纲 —— 详细说清 “评什么、怎么判”，比如 “没⽤国密算法就判不合规”“密钥存普通数据库算高风险”，是测评机构的核心打分依据。

简单说，法规就是 “红线”：哪些系统要评、找谁评、评完要备案，都有明确规定，不能乱选机构、不能漏评范围。

2. 技术标准：明确 “要做到什么程度”，落地不跑偏

技术上要盯紧 “国家认可” 这四个字，核心看 3 点：

• 算法必须合规：只能用国密算法，比如 SM2（签合同、做身份认证）、SM3（验数据有没有被改）、SM4（加密身份证、银行卡号）；像 RC4、旧版 RSA 这些境外算法，再方便也不能用，一用就不合规。

• 产品必须认证：密码相关的工具（比如存密钥的 KMS 系统、加密用的服务器），得在《国家商用密码认证目录》里，有 “商用密码产品认证证书”；用没认证的产品，测评时直接卡壳。

• 场景必须适配：不同数据场景有固定要求，比如：

• 传数据：得用 TLS 1.2 以上（优先 1.3），不能明文传；

• 存数据：身份证、银行卡号要用 SM4 加密，密钥不能存普通数据库，得放 KMS；

• 登系统：管理员登录必须 “密码 + SM2 签名” 双验证，不能只靠密码。

反例：某企业开发政务 APP，用了没认证的境外加密工具，测评时被要求全部换掉，光返工就花了 1 个月 —— 前期选对合规产品，能省很多事。

二、再理清：密评全流程怎么走？4 步闭环不返工

密评不是 “测评机构来查一次就完了”，而是从 “准备→测评→整改→备案” 的完整流程，通常 1-3 个月能搞定，关键是每一步都踩对节点。

1. 前期准备：1-2 周自查补漏，减少测评问题

这步是 “防返工关键”，别等测评时才发现问题，提前做好 3 件事：

• 定好评估范围：明确 “哪些系统、哪些数据要评”—— 比如做医疗系统，就要把 “病历模块、挂号支付模块、数据传输链路” 都列进去，漏评会导致后期补评，浪费时间。

• 备齐资料：把系统架构图、密码方案（比如用什么算法、密钥存在哪）、产品认证证书（KMS 的、加密服务器的）整理好，测评机构要先看这些文档，资料不全会耽误测评进度。

• 内部先自查：对照《GB/T 35273-2020》的要点自己查，比如 “密钥是不是存 KMS”“算法是不是国密”，发现问题先改 —— 比如查到 “密钥写在代码里”，提前迁到 KMS，测评时就不会被判定 “高风险”。

• 
  

2. 正式测评：2-4 周，测评机构 3 种方式查合规

测评机构会通过 “看文档、查现场、测功能”，验证密码应用是不是真合规，不是只看表面：

• 文档审查：看你的密码方案合不合理 —— 比如架构图里有没有覆盖 “数据产生到销毁” 的全链路加密，密钥管理文档里有没有 “每 90 天换一次密钥” 的机制。

• 现场检查：看密码功能是不是真落地 —— 比如登录管理员账号，查是不是有 “密码 + SM2 签名” 双验证；去服务器机房，确认密钥是不是存在认证的 KMS 里，不是存普通配置文件。

• 工具测试：看密码功能是不是真有用 —— 用专用工具试破解加密数据（比如解 SM4 加密的用户信息），试窃取密钥；还会测 “密钥更换”，看换了密钥后数据能不能正常解密。

比如某金融 APP 测评时，工具测出 “SM4 加密的支付数据能轻松破解”，查下来是代码里没加随机盐值，只能整改后重新测 —— 开发时把加密逻辑做对，这步就能一次过。

3. 整改与复测：1-2 周，高风险问题必须 100% 改

测评完机构会给《问题整改通知书》，别想着蒙混过关，整改要到位：

• 分清风险等级：高风险问题（比如用境外算法、密钥明文存）必须全改；中低风险（比如日志没记密钥操作）至少改 90% 以上，不然过不了。

• 整改后要复测：改完后申请复测，机构会针对性查 —— 比如之前算法用错，就重新测加密有效性；密钥存错地方，就查是不是真迁到 KMS 了，没问题才算过。

• 
  

4. 出报告 + 备案：1 周，拿到合规凭证

整改通过后，测评机构会出《商用密码应用安全性评估报告》，里面会写清 “评了什么、改了什么、结论是合规 / 基本合规”（没有 “不合规” 结论，整改完都是合规或基本合规）。

最后把报告报省级以上密码管理部门备案，备案通过，密评就彻底完成了 —— 这份报告很重要，等保测评、项目上线（尤其是政务项目）都要用到。

3 个关键提醒：避开流程里的坑

1. 
   

2. 别等上线前才启动密评：很多企业卡在这里，上线前 1 周才找机构，发现问题没整改时间，只能延期；建议开发完、测试阶段就启动密评，留足 1-2 个月整改。

3. 选对测评机构：必须是国家密码管理局公布的 “商用密码应用安全性评估机构”（官网能查名单），找非认可机构，花了钱报告还无效。

4. 和等保一起推进：密评的 “密码方案”“密钥管理” 也是等保的核心项，一次准备资料，同时用于两个评估，能少做很多重复工作。

结语

密评难的不是 “标准和流程复杂”，而是很多企业没搞懂 “提前准备、按标落地”—— 只要前期对齐法规和技术标准，按 “准备→测评→整改→备案” 分步走，避开 “突击启动、选错机构” 的坑，密评其实能很顺畅，不用反复返工。

如果你的项目正准备做密评，先对照上面的标准自查一遍，再选对机构，大概率能一次过，省下来的时间和成本，远比临时整改划算。