包括信息系统总体描述、网络拓扑图、系统定级备案材料(等保定级报告、备案证明)、系统所承载的业务说明等。这些材料用于评估机构了解系统边界、评估范围和密码应用场景。
《商用密码应用建设方案》是密评合规的核心文件之一,需依据GB/T 39786-2021编写,明确系统的密码应用需求、密码产品选型、密钥管理体系设计等内容,并经过专家评审或测评机构评估。对于新建系统,方案评估结果是项目立项的重要依据。
所使用的密码产品应具有国家密码管理局颁发的商用密码产品认证证书;密码模块应提供符合GM/T 0028的安全等级证明;加密机、签名验签服务器等硬件密码设备应提供相应的检测报告和合格证明。
包括密码安全管理制度、密钥管理制度、密码操作流程规范、密码应用安全事件应急处置预案、密码设备运维管理制度、人员管理制度(含关键岗位职责、背景审查、技能培训记录)等。