2026年3月31日，根据相关工作安排，中国密码学会密评联委会组织修订的《商用密码应用安全性评估FAQ》(第四版)已于日前发布，用于替代2023年10月发布的《商用密码应用安全性评估FAQ（第三版）》。密评作为规范商用密码应用、发挥商用密码作用的必要手段，是支撑网络和数据安全发展、护航数字经济安全的基线要求。该文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答，以帮助相关人员更好开展商用密码应用与安全性评估工作。

《商用密码应用安全性评估FAQ（第四版）》相较于第三版，对照表共列出30项核心变更，整体呈现出覆盖面更广、判定颗粒度更细的特征：

在新增内容方面，第四版新增14项FAQ，重点填补新业态与风险判定空白。在管理与特殊场景上，新增了云平台及密码服务平台超期未复评的结论复用标准、特定行业密码应用标准规范与GB/T 39786-2021不一致时的评估方法，以及定期开展密码应用安全性评估及攻防对抗演习与应急处置的合规性判定。在技术与风险判定上，强化"以数据为中心"，新增对仅使用数据整体加密而未加密数据内容（信源）场景的测评关注点；同时引入弹性与底线思维，探讨了工控、医疗等特殊行业通过严格管理缓解高风险的判定，并明确了非高风险指标使用高风险算法、技术或产品时的判定规则。此外，还补充了自建CA签发数字证书的合规性判定、无改造和管理权限接口测评等边界问题。

在修改与精简方面，第四版包含13项修改（包括替换删除1项）与3项整条删除，重点在于消除测评盲区与理清底层逻辑。修改内容聚焦于测评对象精准识别与密码产品合规判定。例如，明确生产与备份数据有差异时需分别测评，补充了双活机房裸光纤分类和判定建议，并将被测系统与第三方电子认证服务相关系统的通信信道纳入测评。同时，细化了双向风险缓解逻辑，划定"仅能缓解风险，不能弥补分值"的红线。在删除项上，果断剔除关于"宜"的指标把握、应用和数据安全报告编写、高风险修正过程体现等易引起歧义的旧表述，使测评体系更加精炼务实。

值得一提的是，《商用密码应用安全性评估FAQ（第四版）》第23条应用和数据安全层面的存储机密性问题中，进一步强化了必须以“数据资源本身是否加密”作为符合性判定的根本依据。这一原则从根本上区分了“形式合规”与“实质安全”：仅对存储介质或数据库整体进行外围加密，虽能防范物理窃取风险，却无法应对来自应用层的越权访问、注入攻击等更普遍的数据泄露威胁。真正的安全，须通过“在数据源头完成加密，且加密与细粒度访问控制协同生效"来达成。这标志着产业的技术重心与评估标准，已从传统的“环境加固”彻底转向“以数据为中心”安全。

FAQ是密评技术标准体系的有效补充。密评作为“数据安全之过程合规”的技术落地，需要和信息系统的支撑环境与业务应用等紧密结合，才能发挥出密码的安全价值。炼石认为，在各行业各场景的密评落地中，会遇到多种多样的实操层面问题，而现有的技术标准在遇到这些细节问题时需要更清晰明确的指引，因此由中国密码学会密评联委会官方发布的FAQ常见问题解答具有重要意义。从微观上，对用户单位、密评评测机构、密评改造厂商等的工作落实具有很高的实践参考价值。从宏观上，FAQ等这类持续改进的技术规范补充，有利于推动商用密码产业的做强做优做大。

一图胜千言。炼石通过图解形式分析了《商用密码应用安全性评估FAQ（第四版）》的41个常见问题，并根据官方解答示例绘制了部署场景等，希望能提升密评相关人员的交流与沟通效率。同时，进一步结合近几年新发布政策文件做系统化解读，法规政策层面包含《商用密码管理条例》、《商用密码检测机构管理办法》、《商用密码应用安全性评估管理办法》、《关键信息基础设施安全保护条例》等解读；标准层面包含《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》、《GB/T43206-2023 信息安全技术 信息系统密码应用测评要求》、《GB/T43207-2023 信息安全技术 信息系统密码应用设计指南》等解读；指导性文件包含《商用密码应用安全性评估量化评估规则（2023版）》、《信息系统密码应用高风险判定指引》等解读，完整解读了密评合规最新要求，提供了实战化密改方案，希望能为行业用户单位、监管机构、密评机构、以及广泛的信息化从业人员等的工作开展提供参考。由于作者水平有限，欢迎业界同仁共同探讨完善。

原创声明：北京炼石网络技术有限公司对本文的内容拥有受法律保护的著作权，未经授权许可，任何人不得将本文的全部或部分内容以转让、出售等方式用于商业目的使用。转载使用本文文字和图片的应注明来源。文中所载的材料和信息，包括但不限于文本、图片等各种形式，不能替代律师出具的法律意见。违反上述声明者，本公司将追究其相关法律责任。如需转载请关注公众号回复“转载”，或在文章下方留言。