项目启动,明确测评目标、范围和依据标准;收集被测系统的相关资料,包括系统架构、密码应用方案、管理制度等;准备测评工具、检查表单和记录表格。
确定测评对象,明确系统边界、网络边界和密码产品边界;依据GB/T 39786-2021确定各层面的测评指标;确定现场测评的具体检查点和测试方法,编制详细的测评方案。
严格按照测评方案实施现场测评,通过访谈、文档审查、配置检查、工具测试等方式获取证据;规范、准确、完整地记录测评结果;识别密码应用中的安全隐患和不合规项。
对现场测评获取的证据进行综合分析,判定各项指标是否符合标准要求;编制《商用密码应用安全性评估报告》,详细记录测评过程和发现的问题;针对不合规项提出具体整改建议。
在密评活动结束后30个工作日内,将评估结果报密码管理部门等相关部门备案;三级及以上系统还需到当地公安机关进行备案;备案材料包括密评报告、密评合同等。