密评最早于 2007 年提出，经过十余年的积累，密评制度体系不断成熟，其发展经历了四个阶段。

 第一阶段：制度奠基期（2007 年 11 月至 2016 年 8 月）。2007 年 11 月 27 日，国家密码管理局印发 11 号文件《信息安全等级保护商用密码管理办法》，要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。2009 年 12 月 15 日，国家密码管理局印发管理办法实施意见，进一步明确了与密码测评有关的要求。

 第二阶段：再次集结期（2016 年 9 月至 2017 年 4 月）。国家密码管理局成立起草小组，研究起草《商用密码应用安全性评估管理办法（试行）》。2017 年 4 月 22 日，正式印发《关于开展密码应用安全性评估试点工作的通知》（国密局（2017）138 号文），在七省五行业开展密评试点。

 第三阶段：体系建设期（2017 年 5 月至 2017 年 9 月）。国家密码管理局成立密评领导小组，研究确定了密评体系总体架构，并组织有关单位起草 14 项制度文件。经征求试点地区、部门意见和专家评审，2017 年 9 月 27 日，国家密码管理局印发《商用密码应用安全性测评机构管理办法（试行）》《商用密码应用安全性测评机构能力评审实施细则（试行）》《信息系统密码应用基

本要求》（后以密码行业标准 GM/T0054 形式发布）和《信息系统密码测评要求（试行）》，密评制度体系初步建立。2021年3月，国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告（2021年第3号），国家密码应用与安全性评估的关键标准GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》正式发布，并于2021年10月1日正式实施。

 密评体系总体架构如下图所示。密评体系借鉴了信息安全等级保护工作十多年的实施经验，并考虑影响密评试点实施的关键要素，分为两层共七大要素。

  1）第一层

 体系的底层是支撑层，包括法律法规制度和支撑平台两个要素。

  ①法律法规制度要素主要是《密码法》《网络安全法》，正在修订的《商用密码管理条例》，正在制定的《网络安全等级保护条例》，以及与密评相关的管理办法。

  ②支撑平台要素包括四类数据平台和发布宣传平台，即测评对象备案数据库（系统定级、基本情况、建设实施情况等）、密码应用情况数据库、测评机构基础数据库、测评专家知识库（测评知识、方法和实际经验等）和发布宣传平台（如监督举报、查处发布、奖惩）等。

 第二层

 体系的上层是实施层，包括机构、人员、测评、报告、风控五要素。

 ①机构要素：包括测评机构管理办法、技术能力要求、证书管理等。

 ②人员要素：包括培训体系（教材、大纲、题库等）、考核考试、测评师管理、人员审核等。

 ③测评要素：包括技术体系（测评理论、技术、方法、标准规范等）、管理规范、实施过程、测评类型等。

 ④报告要素：包括报告格式、内部审核的签发管理要求、备案要求、抽查机制等。

 ⑤风控要素：包括准入和管理两个层面，从人员、管理制度、测评措施等方面防范可能给被测系统带来的风险。

 密评体系有些要素已基本具备（如机构要素中的测评机构管理办法、技术能力要求，测评要素中的应用标准、测评标准、测评过程指南等），有些要素还待完善。在密评工作开展过程中，既要严格遵守已有规定，又要不断完善充实制度体系。

 第四阶段：密评试点开展期（2017 年 10 月至今）。试点开展过程同时也是机构培育过程，包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定等。在测评机构的培育认定上，坚持“总量控制、科学布局、择优选取、培育辅导、行政许可”的总体思路。2019 年上半年对第一批密评试点做了评审总结，对参与试点的 27 家机构进行能力再评审，择优选出 16 家扩大试点，对另 11 家机构给予 6 个月能力提升整改期。2019 年 10 月，开始启动第二批密评试点工作。2020 年 7 月，密评试点机构数量继续扩大，经过能力评审、验证及整改，增至 24 家。2021 年 6 月，国家密码管理局依据《密码法》以及商用密码应用安全性评估有关管理规定，《商用密码应用安全性评估试点机构目录》更新发布，密评试点机构增至 48 家。

 按照《密码法》有关规定，商用密码应用安全性测评机构将作为商用密码检测机构，纳入依法管理轨道，由国家市场监管总局和国家密码管理局依据有关法律法规和标准、技术规范的规定实施评价许可。未来，机构许可拟按照统一管理、分工协作、共同实施的机制，制定资质认定规则，发布和调整资质认定目录，并组织开展资质认定监督。在许可程序之“技术评审管理”环节，拟强化对机构测评能力的专业审查，切实把住机构实际能力的关口。考虑到测评机构整体能力偏低和密评人才供给极度短缺的现状，拟组织对申请机构进行培育辅导，切实提升机构测评能力。商用密码应用安全性测评管理规章制度正在修订。在测评机构的培育认定上，坚持“总量控制、科学布局、择优选取、培育辅导、行政许可”的总体思路。

 为提高测评机构“含金量”，为密评工作营造良好声誉，在机构认定上坚持“严进”，设置较高准入要求，引入竞争和评审机制，对达不到要求的申请机构坚决拒之门外。在日常监管上要“严管”，对能力不足、违规测评的机构和人员要严肃处理，对不符合要求的测评机构要坚决淘汰。