5.3　評價實施

5.3.1 評價流程

評價流程主要包括評價準備、方案制定、現場實施、分析評估4個階段：

a) 在評價準備階段，評價實施方接收供應方提交的評價申請后，與供應方溝通所需的評價材料，包括擬提供的評價樣品、材料和證據等，依據具體產品的評價指標審核供應方提供的評價材料是否滿足條件，通過審核后，組建評價實施團隊，根據需要可設置專家組；

a) 在方案制定階段，評價實施方針對具體產品確定評價方法、程序和進度，形成評價方案；

b) 在現場實施階段，評價實施方依據評價方案，結合供應方提供的評價材料逐項核查，必要時可要求供應方補充相關材料，雙方對現場實施結果進行確認；

c) 在分析評估階段，評價實施方依據現場實施情況對產品進行具體評價和打分。

5.3.2　評價方法

評價實施方在開展信息技術產品安全可控評價工作中應綜合采用訪談、檢查和測試等基本評價方法，以核實供應方所提供評價材料是否滿足指標考查內容要求：

a) 訪談：評價實施方通過與供應方相關人員進行有針對性的交流以幫助理解、厘清或取得證據，訪談的對象為個人或團體，如技術團隊負責人、核心技術工程師、采購部門負責人等；

b) 檢查：評價實施方對供應方提供的相關材料進行觀察、查驗、分析以幫助理解、厘清或取得證據，檢查的對象為制度、文檔和記錄，如必要的技術設計文檔、核心材料采購記錄等；

c) 測試：評價實施方使用預定的方法/工具使測試對象產生特定的結果，并將運行結果與預期的結果進行比對，測試的對象為信息技術產品的技術或功能特性，如安全可控產品適配性、重現結果與產品一致性等。

5.3.3　評價結果

信息技術產品安全可控評價采取百分制，最低得分為0分，未能通過優先評價項的按照最低分計分，最高得分為100分，即所有一般評價項所設定參考分值之和為100分。在評價過程中，評價實施方可根據產品的實際情況，在參考分值的區間范圍內給出各評價指標項的具體分值。各評價指標項分值之和為該產品安全可控評價的結果，該結果可作為認定該產品安全可控程度的依據。