商用密码常见问题库

本文来源：上海市密码管理局

发布时间：2026年4月

密码应用与安全性评估常见问题库

问题 1：开展密码应用与安全性评估工作的主要依据有哪些？

答复：

（一）《中华人民共和国密码法》（2020 年 1 月实施）；
（二）《中华人民共和国网络安全法》（2017 年 6 月实施，2025 年 10 月修订）；
（三）《中华人民共和国数据安全法》（2021 年 9 月实施）；
（四）《中华人民共和国个人信息保护法》（2021 年 11 月实施）；
（五）《关键信息基础设施安全保护条例》（2021 年 9 月实施）；
（六）《商用密码管理条例》（2023 年 7 月实施）；
（七）《商用密码应用安全性评估管理办法》（2023 年 11 月实施）；
（八）《关键信息基础设施商用密码使用管理规定》（2025 年 8 月实施）；
（九）《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960 号，2020 年 11 月实施）；
（十）《政务信息系统政府采购管理暂行办法》（财库〔2017〕210 号,2018 年 1 月实施）；

（十一）《政务服务电子文件归档和电子档案管理办法》（国办发〔2023〕26 号，2023 年 7 月印发）；
（十二）《关于《国家政务信息化项目建设管理办法》（国办发〔2019〕57 号,2020 年 2 月实施）；
（十三）规范和加强我市重要网络和信息系统密码应用与安全性评估工作的通知》（沪密局〔2021〕5 号，2021 年 5 月印发）；
（十四）《关于规范商用密码应用安全性评估结果备案工作的通知》（国密局字〔2021〕392 号，2021 年 11 月印发）；
（十五）上海市人民政府办公厅关于印发《上海市政务云管理暂行办法》的通知（沪府办规〔2022〕6 号，2022 年 4 月印发）；
（十六）《上海市市级数字化项目支出预算管理暂行办法》（沪经信推〔2022〕535 号，2022 年 8 月印发）；
（十七）《上海市密码管理局关于印发<上海市电子政务云政务移动办公信息系统密码应用建设指南（暂行）>》的通知（沪密局〔2022〕1 号，2022 年 1 月印发）；
（十八）《关于进一步加强我市电子政务云及上云信息系统密码应用工作的通知》（沪密局〔2022〕5 号，2022 年 2 月印发）；
（十九）《关于进一步加强我市重要网络和信息系统密码应用情况监督管理工作的通知》（沪密局〔2023〕7 号，2023 年 5 月印发）；
国家、上海其他相关政策文件详见《上海市重要网络和信息系统密码应用与安全性评估工作指南》—法律法规和政策文件。

问题 2：开展密码应用与安全性评估的流程是什么？需要注意哪些事项？
答复：

信息系统建设、使用、管理单位（下称责任单位）应在信息系统规划、建设和运行阶段中开展密码应用与安全性评估。
（一）规划阶段
1.方案编制。责任单位在编制项目建议书、可行性研究报告与初步设计方案时，应当按照 GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》（关键信息基础设施密码应用方案编制还应遵循 GM/T 0133-2024《关键信息基础设施密码应用要求》）、GB/T 43207-2023《信息安全技术信息系统密码应用设计指南》和密码应用方案模板同步编制密码应用方案。方案编制可参考《上海市重要网络和信息系统密码应用与安全性评估工作指南》—重要网络和信息系统密码应用方案示例。
2.方案评估。责任单位应当委托商用密码检测机构（下称密评机构）对密码应用方案进行评估（即方案密评，委托合同一般由责任单位与密评机构直签），确有需要，也可组织专家评审会对密码应用方案进行评估。对于重大项目，责任单位应会同市密码管理局组织开展密码应用方案的评估工作。评估结果作为项目立项的重要依据。
（二）建设阶段
1.建设实施。责任单位应当按照通过评估的密码应用方案建设密码保障系统，建设过程中涉及密码应用方案结构性调整的，应当委托密评机构（确有需要，也可组织专家评审会）对调整后的密码应用方案进行复评。
2.验收测评。项目建设完成后，责任单位应当根据项目验收要求，在验收前委托密评机构对项目进行密评或密码应用测评。项目通过密评或密码应用测评是项目验收的必要条件。
（三）运行阶段
1.定期评估。在运行阶段，责任单位应当定期（每年至少一次）自行或委托密评机构对系统开展密评（即系统密评，委托合同一般由责任单位与密评机构直签），并自密评报告形成后 30 日内将密评结果报市密码管理局备案。对于未通过密评的系统，责任单位应当针对评估中发现的安全问题及时整改，整改完成后进行复评与备案。通过密评是项目运维经费审批的重要条件。
2.应急评估。信息系统出现密码应用重大安全事件、重大调整或特殊紧急情况时，责任单位应当立即组织密评机构进行密评。
（四）密评结果备案流程
密码应用方案、信息系统密评报告形成之日起 30 日内通过密码应用监管平台进行密评结果备案，具体流程详见《上海市重要网络和信息系统密码应用与安全性评估工作指南》—密码应用安全性评估（密评）结果备案流程。

问题 3：信息系统中的重点保护对象具体包括哪些？
答复：

一般情况下，信息系统各层面重点保护对象如下：物理和环境层的重点保护对象主要包括机房电子门禁系统及其数据、机房视频监控数据等；
网络和通信层的重点保护对象主要包括访问应用通信信道、设备运维通信信道和数据备份通信信道等；
设备和计算层的重点保护对象主要包括服务器、重要可执行程序和文件、数据库、堡垒机和密码产品等；
应用和数据层的保护对象主要包括应用用户、重要数据和操作行为等。
不同信息系统的业务属性、安全等级、应用场景均不相同，重点保护对象存在差异化区别，应结合系统实际运行情况精准梳理界定，贴合自身业务安全需求合理划定保护范围。

问题 4：信息系统密码应用方案编制的关键是什么？
答复：

编制密码应用方案的关键在于：从安全风险分析入手，梳理信息系统的重点保护对象以及物理和环境、网络和通信、设备和计算、应用和数据等层面可能存在的安全风险；根据安全风险分析结果，逐一梳理系统的密码应用需求；根据系统的密码应用需求，设计密码应用技术方案，并基于合规性对照表逐一分析系统密码应用的合规性。

问题 5：密码应用方案模板第 2 章“系统概述”—“系统网络拓扑”要求给出系统网络拓扑图，第 5 章“密码应用技术方案”—“密码应用部署”要求给出密码应用技术部署图，这两个图有什么区别？
答复：

密码应用方案模板第 2 章的系统网络拓扑图是信息系统密码应用建设或改造前的网络拓扑；第 5 章的密码应用技术部署图是信息系统密码应用建设或改造后的网络拓扑，重点是展示密码设备在网络架构中的部署位置和应用。

问题 6：如何开展密码应用方案评估？
答复：

责任单位一般情况下应委托密评机构对密码应用方案进行评估。确有需要，可组织专家评审会（专家中建议至少有一位来自密评机构）对密码应用方案进行评估。
对于重点数字化项目（包括：投资金额 3000 万元（含）以上的、数字化转型年度重点工作所涉及的、“一网通办”、“一网统管”、相关重点领域的跨部门、跨层级、跨区域的数字化项目，以及市委、市政府明确要求建设的数字化项目等），责任单位若委托密评机构对方案进行评估，需将密评结果报送市密码管理局复核；若组织专家评审会进行方案评估，市密码管理局相关工作人员列席专家评审会。

问题 7：在密码保障体系建设过程中，密码应用方案中有部分内容因建设难度较大需要进行调整，调整后的方案是否需要复评？
答复：

密码应用方案调整后，若导致系统密码应用需求清单中的部分指标变成高风险项，或导致部分指标由适用变为不适用，应对方案进行复评。

问题 8：密码应用方案的合规性对照表中允许存在不符合项吗？
答复：

密码应用合规性对照表中允许存在“不符合”或“部分符合”项。若“不符合”或“部分符合”项涉及《信息系统密码应用高风险判定指引》中的高风险问题，则应在方案中描述相应的风险缓解措施。

问题 9：在信息系统密码应用中，若部署的智能密码钥匙或其他产品使用 SHA-1 算法，在密码应用安全性评估或密码应用测评中是否判定为高风险问题？
答复：

根据中国密码学会密评联委会 2021 年 12 月发布的《信息系统密码应用高风险判定指引》，使用存在安全问题或安全强度不足的密码算法对重要数据进行保护，如 MD5、DES、 SHA-1、RSA（不足 2048 比特）等密码算法；或者采用安全性未知的密码算法，如自行设计的密码算法、未经安全性论证的密码算法等，可能会导致信息系统面临高风险。特殊应用场景下，结合现行密码相关标准及指导文件要求，SHA-1 风险等级可另行判定，具体风险定级以密评机构专业评估结论为准。

产品检测认证

问题 10：商用密码产品检测认证申请流程是什么？
答复：

详见上海市密码管理局官网—办事指南—商用密码产品检测认证申请流程。

问题 11：已经通过商用密码产品检测认证的商密产品在销售前是否还需要申请公安部的网络安全产品销售许可证？

答复：未列入《网络关键设备和网络安全专用产品目录（第一批）》的商密产品，无需申请公安部的网络安全产品销售许可证。

电子认证服务与电子政务电子认证服务

问题 12：我市相关单位如何申请电子认证服务使用密码许可证、电子政务电子认证服务资质？
答复：请分别按照上海市密码管理局官网—办事指南—《电子认证服务使用密码许可服务指南》《电子政务电子认证服务机构认定服务指南》要求办理。

问题 13：我单位希望为非本单位用户提供电子印章服务，是否需要申请电子认证服务使用密码许可证？
答复：需确认贵单位提供的电子印章所绑定的数字证书是否由具有电子认证服务资质的机构（须在工业和信息化部认可的目录）提供的，如果不是，需要申请电子认证服务使用密码许可证和电子认证服务许可证（工业和信息化部）。

其他

问题 14：商用密码进出口有什么要求？
答复：

根据商务部、工业和信息化部、海关总署、国家密码管理局 2024 年第 51 号公告，与商务部、国家密码管理局、海关总署 2020 年第 63 号公告，办理涉及商用密码进口许可清单与两用物项出口管制清单（涉及商用密码）中的商用密码进出口业务（清单详见上海市密码管理局官网—办事指南—《商用密码进口许可清单、两用物项出口管制清单（涉及商用密码）》），应向商务部申请办理。

问题 15：我市相关单位如何申请使用 SM1、SM7 等非公开算法？
答复：

按照《算法申请材料编制说明》准备相应材料，并将相应材料盖章纸质版+电子版（算法申请书应为盖章扫描版）各一份报送市密码管理局，由市密码管理局对材料内容进行实地核查并出具初审意见后，报国家密码管理部门审批。