商用密码评估

一、商用密码应用安全性评估分为两部分内容：

（1）信息系统规划阶段对密码应用方案的评估；（2）建设完成后对信息系统开展的密码测评。

二、密码应用方案评估主要是依据系统定级情况，审查被测系统责任单位的密码应用设计方案或系统安全设计方案中的密码应用设计部分是否涵盖了所有需采用密码保护的核心资产及敏感信息，已设计的密码保护措施是否均能达到相应等级的密码使用要求或规定。密码应用方案评估可由责任单位委托测评机构进行评估，经过评估的密码应用方案是项目实际测评的重要依据。密码应用方案经过评估或者整改通过后，可进入系统建设阶段。密码应用方案经过评估后，应上报主管部门审核，由密码管理部门备案。

三、信息系统开展的实际密码测评，按照《信息系统密码应用基本要求》，结合《信息系统密码测评要求》给出每个要求条款的测评实施方法。首先给出总体要求、典型密码产品应用、密码功能的测评实施方法，然后从密码技术应用的物理和环境、网络和通信、设备和计算、应用和数据、密钥管理及安全管理六个方面进行测评。测评过程分为四项基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评双方之间的沟通与洽谈应贯穿整个测评过程。

商用密码应用安全性评估-企业版-针对评估服务器数量在0-50台之间；

商用密码应用安全性评估-高级版-针对评估服务器数量在50-100台之间；

商用密码应用安全性评估-旗舰版-针对评估服务器数量在100台以上；