根据《中华人民共和国密码法》相关要求，依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、《信息系统密码测评要求》及《商用密码应用安全性评估测评过程指南（试行）》等标准规范，对重要网络信息系统开展商用密码应用安全性评估工作，进一步规范重要网络信息系统密码应用，实现“以评促建、以评促改、以评促用”。商用密码应用安全性评估（简称“密评”）是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中， 对其密码应用的合规性、正确性和有效性进行评估的活动。密评是对密码应用安全的评估，立足系统安全、体系安全 和动态安全，对包括密码算法、密码协议和密码设备等进行整体安全性评估。

建立密评体系，就是为了解决商用密码应用中存在的突出问题，为重要网络与信息系统的安全提供科学评价方法，以评促建、以评促改、以评促用，逐步规范商用密码的使用和管理，从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络与信息系统中的有效使用，切实构建起坚实可靠的网络空间安全密码屏障。

商用密码应用安全是整体的、系统的、动态的。密码安全是网络与信息系统安全的前提，构建成体系的、安全有效的密码保障系统，对重要网络与信息系统有效抵御网络攻击具有关键作用和重要意义。密码应用是否合规、正确、有效，涉及密码算法、协议、产品、技术体系、密钥管理、密码应用等多个方面。有必要委托专业机构、专业人员，采用专业工具和专业手段，对系统整体的商用密码应 用安全进行专项测试和综合评估，形成科学准确的评估结果，以便及时掌握商用密码安全现状，采取必要的技术和管理措施。

《中华人民共和国密码法》规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护自行或者委托商用密码检测机构开展商 用密码应用安全性评估。《中华人民共和国网络安全法》也指出，网络运营者应当履行网络安全保 护义务，并明确在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护。采取技术 措施和其他必要措施，维护网络数据的完整性、保密性和可用性。《网络安全等级保护条例 (征求意 见稿)》强化密码应用要求，突出密码应用监管，重点面向网络安全等级保护第三级及以上系统，落实密码应用安全性评估制度。因此，针对网络安全等级保护第三级及以上信息系统、关键信息基础设施开展密评，将是网络运营者和主管部门的法定责任。

密码应用安全性评估包括两部分重要内容：信息系统规划阶段对密码应用方案的评审和建设完成后对信息系统开展的实际测评。

参考相关国标、行标及行业主管单位下发的指导文件，协助用户确定测评系统边界，并明确定级标准与测评定级。协助完成《密评备案表》和《专家评审意见》等材料，完成系统测评备案流程。

通过工具扫描和人工核查等安全测试方法，对被测系统进行安全风险评估、排查与差距分析，结合密码应用测评标准提供差距分析报告与整改实施建议。

根据《GB/T39786-2021信息系统密码应用基本要求》等相关标准文件，结合行业特性要求、监管单位要求和密码安全业务需求进行密码应用方案设计与撰写，协助用户对方案进行机构评审或专家评审。