为贯彻落实《中华人民共和国密码法》、新修订的《商用密码管理条例》等规定，2023年9月26日，国家密码管理局公布《商用密码应用安全性评估管理办法》（以下简称《办法》）于2023年11月1日起正式施行。《办法》细化并落实了“三同步、一评估”要求，并将商用密码应用方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系。统筹细化商用密码应用安全性评估的对象范围、责任主体、工作原则、程序内容、实施规范等规定，依法规范密评工作。在实施中“按照同一套标准、遵循同一套程序、囊括同一套活动”，确保重要网络与信息系统全生命周期，落实商用密码应用安全性评估要求。

实施依据：

按照《密码法》、《商用密码管理条例》关于运营者自行或者委托商用密码应用安全性评估机构开展评估的规定。

一、密码应用方案评估

1、评估内容

密码应用解决方案评估、实施方案评估和应急处置方案评估三个部分。

1）密码应用解决方案评估要点：对方案内容的完整性、密码应用的合规性、密码应用的正确性、密码应用的有效性进行评估，实现密码应用解决方案达到内容全面、思路清晰、重点突出、资料详实、数据可靠、方法正确等要求。

2）实施方案评估要点：对方案检测档案结构是否完整、实施过程是否合理、实施阶段划分是否科学进行评估，实现密码实施方案达到任务目标明晰、计划科学合理、配套措施完备等要求。

3）应急处置方案评估要点：对方案的文档结构是否完整，提出的风险时间处置措施和应急预案是否完备、合理、周密进行评估，实现密码应用应急处置方案达到针对性强、安全事件识别准确、处置措施合理有效等要求。

2、评估流程

1）项目启动：密码应用方案，涵盖密码应用解决方案、密码应用实施方案、密码应急处置方案（均由被测单位提供）。

2）项目执行：依照《信息系统密码应用基本要求》，采用材料审查和专家咨询的方式，结合信息系统的实际情况进行评估，检验方案的总体性、科学性、完备性和可行性，形成密码应用方案评估报告。

3、交付成果物

《XXX系统密码应用方案 商用密码应用安全性评估报告》。

二、对建设完成后的信息系统开展的实际测评

1、测评内容

物理和环境；网络和通信；设备和计算；应用和数据；密钥管理；安全管理。

2、测评流程

密码应用安全性评估过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评双方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。

3、交付成果物

《XXXXX系统 商用密码应用安全性评估报告》

三、业务联系：

王郁 13366992611  wangyu1@cstc.org.cn

唐婧 15110126388  tangjing@cstc.org.cn