服务项目

密码产品认证：信息系统密码应用测评建设运行规定

文章录入：华道众合文章来源：华道众合添加时间：2021-1-25

1.制定密码应用方案

具体测评单元如下：

a) 测评指标

依据密码相关标准和密码应用需求，制定密码应用方案。（第一级到第四级）

b) 测评对象

密码应用方案。

c) 测评实施

核查在信息系统规划阶段，是否依据密码相关标准和信息系统密码应用需求，制定密码应用方案，并核查方案是否通过评估。

d) 结果判定

针对单个测评对象，如果以上测评实施内容均为是，则该测评对象符合本单元的测评指标要求；否则，不符合或部分符合本单元的测评指标要求。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。

2.制定密钥安全管理策略

具体测评单元如下：

a) 测评指标

根据密码应用方案，确定系统涉及的密钥种类、体系及其生存周期环节，各环节密钥管理要求参照 GB/T AAAAA 附录 B。（第一级到第四级）

b) 测评对象

密码应用方案、密钥管理制度及策略类文档。

c) 测评实施

核查是否有通过评估的密码应用方案，并核查是否根据密码应用方案，确定系统涉及的密钥种类、体系及其生存周期环节；若信息系统没有相应的密码应用方案，则参照附录A密钥生存周期管理检查要点核查密钥生存周期的各个环节是否符合要求。

d) 结果判定

3.制定实施方案

具体测评单元如下：

a) 测评指标

按照应用方案实施建设。（第一级到第四级）

b) 测评对象

密码实施方案。

c) 测评实施

核查是否有通过评估的密码应用方案，并核查是否按照密码应用方案，制定密码实施方案。

d) 结果判定

4.投入运行前进行密码应用安全性评估

具体测评单元如下：

a) 测评指标

·投入运行前进行密码应用安全性评估。（第一级到第二级）

·投入运行前进行密码应用安全性评估，评估通过后系统方可正式运行。（第三级到第四级）

b) 测评对象

密码应用安全性评估报告、系统负责人。

c) 测评实施

1) 第一级到第二级

核查信息系统投入运行前，是否组织进行密码应用安全性评估；核查是否具有系统投入运

行前编制的密码应用安全性评估报告。

2) 第三级到第四级

核查信息系统投入运行前，是否组织进行密码应用安全性评估；核查是否具有系统投入运

行前编制的密码应用安全性评估报告且系统通过评估。

d) 结果判定

针对单个测评对象，如果以上相应等级的测评实施内容均为是，则该测评对象符合本单元的测评指标要求；否则，不符合或部分符合本单元的测评指标要求。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。

5.定期开展密码应用安全性评估及攻防对抗演习

具体测评单元如下：

a) 测评指标

在运行过程中，严格执行既定的密码应用安全管理制度，定期开展密码应用安全性评估及攻防对抗演习，并根据评估结果进行整改。（第三级到第四级）

b) 测评对象

密码应用安全管理制度、密码应用安全性评估报告、攻防对抗演习报告、整改文档。

c) 测评实施

核查信息系统投入运行后，责任单位是否严格执行既定的密码应用安全管理制度，定期开展密码应用安全性评估及攻防对抗演习，并具有相应的密码应用安全性评估报告及攻防对抗演习报告；核查是否根据评估结果制定整改方案，并进行相应整改。

d) 结果判定

想了解更多的关于密码产品认证信息可以经常关注我们

【相关文章】