信息安全等级保护第二级（等保2.0）的系统是否需要做密评？

直接回答：不需要。

根据国家现行的法律法规和标准要求，信息安全等级保护第二级（等保2.0）的系统不强制要求进行密码应用安全性评估（密评）。

详细解释：

1. 法规依据

密评的强制要求主要来源于以下两个核心文件：

《中华人民共和国密码法》：第二十七条规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，并自行或者委托商用密码检测机构开展密码应用安全性评估。

《商用密码应用安全性评估管理办法（试行）》：明确规定需要进行密评的对象包括：

关键信息基础设施（三等及以上）。

网络安全等级保护第三级及以上信息系统。

从上述规定可以看出，强制密评的门槛是“关键信息基础设施”或“网络安全等级保护第三级（含）以上的系统”。等保二级系统不在这个强制范围内。

2. 等保与密评的关系

等保（等级保护）：是信息安全的全面性、基础性制度。它从物理、网络、主机、应用、数据等多个层面提出全面的安全要求，其中也包含了对密码技术的使用要求（主要在“安全计算环境”和“数据传输保密性/完整性”等方面）。

密评：是等保制度的深化和补充，它聚焦于密码技术本身，专门评估信息系统中使用的密码算法、技术、产品和服务是否符合国家标准，是否被正确、有效地实施，以确保其真正发挥安全作用。

您可以理解为：

做等保二级时，测评机构会检查你的系统是否“用了密码”，比如是否对密码进行哈希存储、传输通道是否用了TLS等。这是一种基础符合性检查。

做密评时，评估机构会深入检查你用的密码算法是否是国密算法（如SM2/SM3/SM4）或符合要求的国际算法，密钥管理是否安全，随机数生成是否可靠等。这是一种专业性和深度都更高的专项评估。

3. 等保二级系统什么情况下需要考虑密评？

虽然不强制，但在以下情况下，等保二级系统的运营者可能会自愿或被建议进行密评：

系统被认定为关键信息基础设施（CII）：如果一个等保二级的系统是某个大型CII的组成部分，或者其本身被认定为CII，那么根据《密码法》，它就必须进行密评。（但通常CII的等保级别会在三级及以上）。

行业主管或监管单位有特殊要求：某些重点行业（如金融、能源、交通等）的监管部门，可能会在行业规定中要求其管辖范围内的部分重要二级系统也进行密评。

系统本身对密码依赖度极高：如果系统的核心安全功能严重依赖于密码技术（例如，一个提供数字签名服务的平台），为了确保密码应用的合规性、正确性和有效性，运营者会主动进行密评以发现潜在风险。

作为安全建设的标杆：企业为了展示其高标准的安全保障能力，可能会对重要的二级系统进行密评，作为一项安全亮点。

总结

您的信息系统如果定级为等保二级，并且不被认定为关键信息基础设施，那么根据国家规定，不需要进行强制性的密评。您只需要在完成等保测评时，满足其中关于密码使用的基础要求即可。