下列说法正确的是（）。

本题考查对《商用密码应用安全性评估量化评估规则（2021版）》相关内容的理解与掌握。以下是对各选项的逐项解析及核心知识点讲解。 --- **A：《商用密码应用安全性评估量化评估规则（2021版）》应遵循法律法规和最新相关指导性文件的总体要求** **正确。** 理由：该规则作为商用密码应用安全性评估的技术依据，其制定和实施必须以国家有关法律法规为基础，如《中华人民共和国密码法》《网络安全等级保护条例》《关键信息基础设施安全保护条例》等，并结合国家密码管理部门发布的最新政策和技术指导文件。因此，在开展评估工作时，必须遵循现行有效的法律、法规和指导性文件的总体要求。 **核心知识点**： 商用密码应用安全性评估是落实《密码法》的重要手段，评估活动需依法依规进行，确保与国家政策方向一致。 --- **B：根据《商用密码应用安全性评估量化评估规则（2021 版）》，强调优先在网络和通信安全层面、设备和计算安全层面和应用和数据安全层面推进密码技术应用** **错误。** 理由：虽然网络和通信安全、设备和计算安全、应用和数据安全是密码技术应用的重要领域，但《量化评估规则（2021版）》并未明确提出“优先”在上述三个层面推进密码技术应用。相反，该规则按照信息系统整体架构，将密码应用分为四个安全层面：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全，并要求全面覆盖、统筹考虑，不得有明显短板。评估强调的是均衡性和完整性，而非“优先”某些层面。 此外，“优先推进”的表述更常见于政策倡导或试点阶段的说法，不属于《量化评估规则》中的正式要求。 **核心知识点**： 《商用密码应用安全性评估量化评估规则》采用四层面结构，强调各层面密码措施的协调一致与完整覆盖，避免片面强调某一层级。 --- **C：根据《商用密码应用安全性评估量化评估规则（2021 版）》，强调特别鼓励使用合规的密码算法/产品/服务** **正确。** 理由：规则明确要求使用的密码算法、密码产品和服务必须符合国家密码主管部门的相关规定，即必须使用经国家认证的合规密码技术。例如，应使用SM2、SM3、SM4等国产商用密码算法，禁止使用已被证明不安全或未经批准的密码算法（如MD5、RC4等）。同时，密码产品需取得国家密码管理局颁发的商用密码产品认证证书，密码服务应由具备资质的单位提供。 “特别鼓励”体现在政策导向上，推动自主可控和国产化替代，提升整体信息安全保障能力。 **核心知识点**： 合规性是商用密码应用的基本前提。合规包括算法合规、产品合规和服务提供者资质合规，是评估中“否决项”的重要内容。 --- **D：通用要求和密码应用技术要求各安全层面的“密码服务”和 “密码产品”指标不单独评价** **正确。** 理由：根据《商用密码应用安全性评估量化评估规则（2021版）》的设计逻辑，“密码产品”和“密码服务”的合规性不在各个安全层面重复评价，而是作为共性要求统一评估。具体而言： - “密码产品”和“密码服务”的合规性属于基础支撑条件，其评价结果适用于所有安全层面； - 若某一系统使用的密码产品或服务本身不合规，则整个系统的密码应用将被判定为不符合要求，构成“一票否决”情形； - 因此，在每个安全层面不再单独设置对该指标的评分项，避免重复评价，提高评估效率和一致性。 **核心知识点**： 评估规则采用“通用要求+分层面技术要求”的结构。“密码产品”和“密码服务”的合规性归入通用要求统一管理，体现评估的系统性和科学性。 --- **综上所述：** 正确答案为 **ACD**。 - A 正确：评估必须依法依规开展； - B 错误：无“优先推进”之说，强调全面覆盖； - C 正确：鼓励并要求使用合规密码技术； - D 正确：“密码服务”和“密码产品”指标统一评价，不重复打分。