2023年11月1日，国家密码管理局令第3号《商用密码应用安全性评估管理办法》（以下简称《管理办法》）正式施行。经过两年半的落地实践，商用密码应用安全性评估（简称“密评”）已成为重要网络与信息系统规划、建设、运行全生命周期的法定强制性工作。在当前网络安全体系下，密评并非独立的合规事项，而是与网络等级保护、地方政务信息化管控、商用密码项目造价管理深度融合的核心环节。

　　目前，不少建设单位与承建单位对密评的实施流程、合规要求、成本核算以及跨体系协同规则存在认知偏差，进而引发项目立项受阻、系统上线延后、验收无法通过等问题，情节严重的还将面临行政处罚。本文以《管理办法》核心条款为基础，结合地方落地规则、密评计费模式、商用密码成本测算标准及等保协同要求，梳理密评全流程合规要点与法律风险，并针对密码改造项目造价管控难题提出实操方案，厘清各项规则之间的内在联系。

　　业内普遍存在认知误区，将密评简单等同于系统上线前的一次性检测。事实上，依据《管理办法》第六条至第九条，密评必须严格遵循同步规划、同步建设、同步运行原则，全面覆盖信息系统星空体育官网规划、建设、运行三大阶段，这一要求也与全国各省市政务信息化项目的通用管理规则保持一致。三个阶段的合规要求层层衔接，同时也直接影响项目预算、测评费用与日常运维成本。

　　项目立项阶段，运营单位须同步编制商用密码应用方案，明确密码防护需求、技术实施路线、产品选型标准以及密钥管理体系。方案编制完成后必须开展密评，未通过评估的方案，不得作为商用密码保障系统的建设依据。

　　现阶段国内多数省市已将密码应用方案及对应密评报告列为政务信息化项目立项的必备材料。其中海南、宁夏、内蒙古等地明确，未提交合规密码相关材料的项目不予立项、不予拨付财政资金；湖南、四川、广西等地则要求在可行性研究报告、初步设计中增设密码应用专项章节，由密码管理部门开展前置审核。

　　规划阶段也是确定密评等级、测算测评费用的关键环节。按照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，密码应用安全划分为五个等级，国内多数地区的密评收费标准均与评估等级挂钩。例如河南二级密评收费4万元、三级8万元，江苏二级5万元、三级8万元。若前期未明确密评等级、完成方案评估，不仅会产生合规风险，还会造成费用测算失准、预算管控失控。

　　项目建设过程中，承建单位需严格按照已通过评估的密码应用方案落地实施，逐项落实密码安全防护措施。系统正式投入运行前，必须完成系统级密评，评估不合格的系统严禁上线，从制度上杜绝“先上线、后补评”的违规行为。

　　根据相关规定，关键基础设施、等保三级及以上信息系统，必须同步开展密评。这类高安全等级系统的密码改造工作量更大、测评复杂度更高，湖南、四川等地设置测评调整因子，整体费用会产生浮动。

　　各地在信息化项目建设环节均强化过程管控，要求招投标、工程监理环节同步落实密码应用要求。如果建设内容偏离既定密码方案，不仅会大幅增加上线前的整改工作量，还会产生复测、整改等额外费用，推高项目整体投入。

　　系统投入运行后，运营单位每年至少组织一次密评，持续检验密码保障体系运行的合规性与有效性。年度评估不合格的，需在规定期限内完成整改，并强化整改期间的安全防护措施。《管理办法》实施前已投入使用的存量重要信息系统，同样需要遵守年度评估要求，不存在过渡期豁免政策。

　　安徽、四川、陕西等地将运维经费与密码应用合规状态直接挂钩，密评不合格的系统将被停拨运维经费，同时禁止开展新建、改扩建工作；云南、内蒙古等地则由密码管理部门开展常态化监督抽查。

　　《管理办法》第十七条、第十八条将违规行为划分为严重违规、一般违规两大类别，并制定了对应的处罚标准。随着全国密码监管力度持续加大，各地密码管理部门常态化开展监督检查，已有多家单位因密评违规受到处罚。在政务、国企领域，密评合规情况还被纳入审计、巡视核查范围，违规造成的影响不再局限于经济处罚。

　　该类行为共计8项，对涉事单位处以10万元—100万元罚款，对直接负责的主管人员处以1万元—10万元罚款：

　　该类行为共计3项，对涉事单位处以1万元—10万元罚款，对直接负责的主管人员处以5000元—5万元罚款：

　　结合各地项目验收要求来看，“未开展密评即上线运行”是当下高发的严重违规行为。重庆、江苏、福建、陕西等多数省市均明确，项目验收必须提交有效密评报告，报告缺失或评估不合格的项目一律不予通过验收。密评违规会触发行政处罚、项目停滞、审计追责等一系列连锁问题，是信息化项目推进过程中不可触碰的底线 两大核心合规要点：机构资质核验与造价管控

　　密评合规是一项系统性工作，除了技术层面满足密码应用相关标准外，第三方评估机构资质审核、商用密码改造项目造价管控，是保障项目平稳推进、规避衍生风险的两大核心工作。结合国内商用密码造价标准与各地密评计费规则，造价管理已成为密评合规体系中不可或缺的一环。

　　《管理办法》第四条明确，对外出具具备法律效力的密评数据、评估结论的机构，必须取得国家密码管理局认定的商用密码检测机构资质。无资质机构出具的评估报告不具备法律效力，无法作为项目备案、竣工验收的有效依据。

　　无论政务信息化项目还是市场化密码改造项目，服务商资质都是遴选合作方的首要考量条件。建设单位在招标、签约阶段，需仔细核查资质证书有效期与核定业务范围。目前国内密评计费主要分为三类模式：按密评等级定价、执行固定统一价格、按照项目投资额阶梯计价。其中内蒙古、辽宁依据项目投资额划分收费档次，投资额200万元以内收费6万元，200万—500万元收费8万元，500万元以上收费10万元；浙江衢州则对所有等级密评统一限价4万元。建议在服务合同中明确权责，若因机构资质问题导致报告失效、项目受阻，由服务机构承担全部损失。

　　国密算法集成、密钥管理系统对接、加密模块定制开发等密码改造工作专业性强，无法直接套用常规信息化项目造价标准。传统人工估算方式容易出现功能识别不全、工作量测算偏差等问题，进而引发预算不足、资金超支、审计核减等风险。

　　国内首部商用密码专项造价标准《信息系统商用密码应用成本测算指南》（T/LSZX 0012—2025），将商用密码应用项目总成本划分为五大类：商用密码应用方案费、商用密码应用安全性评估费、云密码资源使用费、商用密码设备购置费、商用密码软件开发成本，该体系也是当前财政项目预算、市场化项目报价的统一依据。

　　各项费用拥有对应的标准化测算逻辑：密评费参照各地现行收费标准，结合密评等级、项目投资额、系统规模、测评阶段及调整因子核算；商用密码软件开发是测算难点，行业普遍采用功能点分析法，结合功能复用度、开发语言、团队水平、质量要求等多维度因子精准核算；方案费、云资源使用费、设备购置费，则分别按照工时计价、按量计费、市场公允价询价的方式计算。

　　针对商用密码改造及配套信息化项目造价测算难、询价周期长、审价留痕难等痛点，可依托AI询价喵信息化智能审价平台开展全流程造价管理工作。该平台依托200万+全国信息化项目真实成交数据，结合AI大模型与知识图谱技术，可适配商用密码设备、密码改造服务、密评测评服务等多类项目的询价与审价场景。平台支持关键词询价、详细参数询价、批量询价三种工作模式，工作人员录入商用密码硬件参数、定制化改造服务内容、密评服务需求等信息后，系统可自动解析标准化参数维度，精准匹配同规格、同类型历史成交案例，并输出最高价、最低价、平均值、分位值等多维度价格分析数据，为预算编制提供客观数据支撑。

　　结合《管理办法》、地方政务项目管理规则、等保协同要求及造价测算标准，下文针对建设单位、承建单位、存量系统运营单位三类主体，提出可落地的实施策略。

　　立项阶段，需将密评服务、密码改造、密码设备等相关费用单独列入项目预算，严格参照商用密码成本测算框架，并结合当地密评计费标准、系统密评等级完成费用测算；同步完成密码应用方案及前置评估，满足地方立项审批要求。

　　在需求梳理、系统设计阶段，严格遵循GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，结合系统密评等级、当地测评调整因子开展密码方案设计，减少后期大规模整改。

　　全面摸排存量系统现状，优先对等保三级及以上等高风险系统开展密码合规改造，同时梳理现有密码应用短板，形成风险清单。结合存量系统无豁免的管理要求，制定分阶段改造方案与年度密评计划，参照延续测评计费规则合理编制年度预算。在设备采购、技术改造、年度测评等工作中，借助智能化造价工具完成成本核算，提升工作规范性与效率。

　　《商用密码应用安全性评估管理办法》的全面落地，标志着密评从可选的安全服务，转变为网络与信息系统建设、运行的法定底线要求。结合各地管控规则、计费体系、造价标准以及等保协同机制可以看出，密评合规已经发展为串联国家法规、地方监管、网络安全、项目造价、审计监督的综合性工作。

　　长远来看，国内商用密码应用领域将朝着标准统一化、流程规范化、造价精细化、管理智能化的方向持续发展。对于各类从业主体而言，唯有深入理解顶层法规、落地地方细则、理顺等保与密评的协同关系、建立标准化造价管控体系，将密评要求嵌入项目全生命周期，才能有效规避合规风险、严控项目成本，充分发挥商用密码在网络空间安全防护中的核心作用。