随着技术的发展和威胁的不断变化，商用密码应用也需要不断更新和完善。密评的基本原则是什么？这些原则共同构成了密评工作的基础和指导方针，旨在确保商用密码应用的安全性、合规性和有效性，为信息系统的安全提供有力保障。请注意，这些原则可能因不同国家或地区的法律法规、标准以及具体评估要求而有所差异。在进行密评工作时，应参考当地的相关法律法规、标准和评估要求。

　　密评的基本原则是什么？

　　一、总体性原则

　　商用密码在信息系统中的应用不是孤立的，必须与信息系统的业务相结合才能发挥作用。因此，在密码应用方案设计中，应该做好顶层设计，明确应用需求和预期目标，与信息系统整体网络安全保护等级相结合，通过系统总体方案和密码支撑总体架构设计来引导密码在信息系统中的应用。

　　二、密评工作的合规性原则

　　是指信息系统使用的密码算法、密码协议、密钥管理符合法律法规的规定和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务经过国家密码管理部门核准或由具备资格的机构认证合格。

　　三、正确性原则

　　密评工作的合规性原则是指密码算法、密码协议、密钥管理、密码产品和服务使用正确，即系统中采用的标准密码算法、协议和密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现。自定义密码协议、密钥管理机制的设计和实现正确，安全性满足要求，密码保障系统建设或改造过程中密码产品和服务的部署和应用正确。

　　四、有效性原则密评工作的有效性原则是指信息系统中实现的密码保障系统在信息系统运行过程中发挥了实际效用，满足了信息系统的安全需求，切实解决了信息系统面临的安全问题。

　　五、全覆盖原则

　　密评工作的全覆盖原则是指在商用密码应用建设范围应覆盖密码技术在物理和环境安全、网络和通信安全,设备和计算安全、应用和数据安全、密钥管理等方面的应用，还包括身份认证、网络传输、传输、存储和处理等所有环节。

　　等保和密评的区别是什么？

　　‌等保‌（网络安全等级保护）主要评估系统在防护、检测、响应和修复等方面的能力，以确保系统满足国家规定的安全等级要求。它关注整个信息系统的安全性，包括网络安全、数据安全、应用系统安全和物理安全等‌。

　　‌密评‌（商用密码应用安全性评估）则专注于密码应用的安全性，评估密码算法、协议设计、密钥管理和密码模块的安全性等方面。它的目标是确保密码技术的合规性、正确性和有效性，主要用于保护使用商用密码进行数据加密、身份认证和通信安全的信息系统‌。

　　适用范围

　　等保适用于所有非涉密信息系统，各行业可根据自身安全需求自愿开展等级保护工作。测评周期根据信息系统的安全等级有所不同，如第二级建议两年测评一次，第三级要求每年测评一次等‌。

　　密评则只适用于使用商用密码进行保护的信息系统，特别是关键信息基础设施以及网络安全等级保护第三级及以上的信息系统。它是法律法规要求必须开展的活动，测评周期和具体要求由国家密码管理部门制定并监督执行‌。

　　密评的基本原则是什么？密评工作应由独立的第三方机构或专家进行，以确保评估结果的客观性和公正性。这有助于避免利益冲突和偏见对评估结果的影响，提高评估的可信度和说服力。