判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求;使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。
判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确。包括标准密码算法和协议是否按照相应国家和行业标准正确设计和实现;自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求;密码产品和服务的部署和应用是否正确。
判定信息系统中实现的密码保障系统是否在实际运行过程中发挥了效用,是否满足了信息系统的安全需求。具体检查密码保障系统是否发挥了保密性、完整性、真实性和不可否认性的保护功能。
密评合规覆盖五个评估层面:物理和环境安全(门禁系统身份鉴别、监控记录完整性)、网络和通信安全(通信身份鉴别、数据传输机密性和完整性)、设备和计算安全(设备身份鉴别、日志完整性、程序完整性)、应用和数据安全(应用身份鉴别、数据存储传输机密性和完整性、不可否认性),以及密钥管理(密钥全生命周期安全)。
评估密码安全管理制度的建立与发布、关键岗位人员管理(背景调查、技能考核、定期培训)、密码保障系统的建设运行管理、密码应用安全事件的应急处置预案和演练等。