（一）细化落实“三同步一评估”要求。按照《密码法》、《条例》规定，《办法》对依法应当使用商用密码进行保护的重要网络与信息系统，明确要求同步规划、同步建设、同步运行商用密码保障系统，并定期进行商用密码应用安全性评估。细化商用密码应用安全性评估要求，从规划、建设、运行各个阶段分别提出落实安排、明确评估程序及内容，建立起商用密码应用安全性评估制度的基本框架。

      （二）体现商用密码应用安全性评估系统性原则。《办法》将商用密码应用方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系，在实施中“按照同一套标准、遵循同一套程序、囊括同一套活动”，确保重要网络与信息系统全生命周期落实商用密码应用安全性评估要求。同时，将商用密码应用安全性评估机构统一纳入商用密码检测机构管理，进一步体现工作的系统性整体性。

      （三）明确商用密码应用安全性评估实施依据。按照《密码法》、《条例》关于运营者自行或者委托商用密码应用安全性评估机构开展评估的规定，《办法》分别明确了相关要求，并就两者需共同遵守的行为规范作出规定，从而明确了商用密码应用安全性评估活动的实施依据，有助于规范提升商用密码应用安全性评估工作质量。

03 主要内容

       （一）总体要求。一是明确概念定义，商用密码应用安全性评估是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。二是规定管理体制，包括县级以上各级密码管理部门、国家机关和涉及商用密码工作的单位的监督管理职权。三是明确对商用密码应用安全性评估从业机构的资质要求，以及对商用密码应用安全性评估行业发展的保障支持。四是规定了商用密码应用安全性评估的对象范围。

       （二）程序及内容要求。一是规定“三同步一评估”的总体要求。二是明确重要网络与信息系统规划、建设、运行各阶段的商用密码应用安全性评估的程序要求。三是针对商用密码应用方案、网络与信息系统两类不同对象，分别提出商用密码应用安全性评估的内容要求。

       （三）实施规范。一是规定开展商用密码应用安全性评估的通用行为规范和运营者委托开展评估的支持配合义务。二是规定运营者自行开展商用密码应用安全性评估的基本要求与行为规范。三是规定商用密码应用安全性评估结果备案制度。四是规定运营者开展应急处置的有关内容。

       （四）监督检查及法律责任。一是规定了县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位的监督检查职权。二是明确了运营者的违法情形及法律责任。三是规定了商用密码应用安全性评估管理人员的责任义务。

       （五）其他事项。规定了本办法实施的过渡安排和施行时间。