2021年3月，国家市场监督管理总局、国家标准化管理委员会正式发布《信息安全技术??信息系统密码应用基本要求》（GB/T 39786—2021），自2021年10月1日起实施。

密码技术应用的背景及现状数字时代，各领域都在积极推动数字经济的发展，与此同时，最大的掣肘就是数据安全，数据安全的重要性无与伦比，密码技术作为数据安全的基础支撑技术，已经渗透到各行各业，并面临新的挑战，大量信息系统和敏感数据由于缺乏有效的密码保护，造成数据泄露、篡改和身份仿冒事件频发，密码技术被黑客滥用、密码应用不合规、密码算法安全性能低等问题亟需解决。标准的意义与作用为了更好的规范、指导各领域与行业信息系统密码应用的规划、建设、运行及测评工作，本标准明确了信息系统密码应用技术框架，规定了信息系统第一级到第四级的密码应用的基本要求；提出了物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等密码应用技术要求，有效保障信息系统的实体身份真实性 ，重要数据的机密性和完整性、操作行为的不可否认性；制定了管理制度、人员管理、建设运行、应急处置等密码应用管理要求，为信息系统管理提供安全保障。是《中华人民共和国密码法》出台实施之后，开展商用密码应用安全性评估工作的重要抓手。关于“密评”和密评对象商用密码应用安全性评估：简称“密评”，是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。开展密评，是国家相关法律法规提出的明确要求，是网络安全运营者的法定责任和义务。密评对象：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、等保三级及以上的信息系统。标准要点解读密码应用技术要求（1）机密性：通过加解密功能，对信息系统中的身份鉴别信息、密钥数据以及其他重要的传输、存储数据进行保护。（2）完整性：通过消息鉴别码机制和数字签名机制，对信息系统中的身份鉴别和访问控制信息、密钥数据、重要传输、存储数据、日志记录、重要信息资源安全标记、重要可执行程序、视频监控音像记录和电子门禁系统进出记录进行保护。（3）真实性：通过动态口令机制，对信息系统中进入重要物理区域人员、应用系统用户、登录操作系统和数据库系统的用户、通信双方、网络设备接入时进行身份鉴别，保证重要可执行程序的来源真实性。（4）不可否认性：通过数字签名机制，保证数据原发行为的不可否认性和数据接收行为的不可否认性。基本要求信息系统密码应用基本要求划分为四个等级，密码保障能力逐级增强，相应级别的密码保障技术能力及管理能力如下：（其中“可”表示可以，“宜”表示推荐、建议，“应”表示要求、应该。）※ 物理和环境安全：

※ 网络和通信安全：

※ 设备和计算安全：

※ 应用和数据安全：

※ 管理制度：

※ 人员管理：

※ 建设运行:

※ 应急处置：