《中华人民共和国密码法》

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

《商用密码管理条例(修订草案征求意见稿)》

第三十八条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

前款所列网络与信息系统通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况报送所在地设区的市级密码管理部门备案。

开展商用密码应用安全性评估工作，是国家网络安全和密码相关法律法规提出的明确要求，是法定责任和义务。商用密码应用安全性评估工作，不仅对规范密码应用具有重大意义，同时对维护网络和信息系统密码安全，切实保障网络安全，有效应对各类网络安全风险，也具有不可替代的重要作用。

国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估（简称“密评”）工作。