密評過程主要包括哪些環節？

“密評”的測評工作主要包括密碼應用方案評估、測評準備、方案編制、現場測評、分析和報告編制五個環節。

• 密碼應用方案評估

  密碼應用方案評估是根據系統的定級情況，審查系統密碼應用設計方案或系統安全設計方案中密碼應用設計部分密碼防護措施是否滿足密碼使用要求或規定。

  新建系統，需在系統規劃階段編制符合0054相關條款的《密碼應用解決方案》、《密碼應用實施方案》、《密碼應急方案》。對于已建系統，測評專家或機構會針對系統網絡拓撲、已有密碼產品、密鑰管理層次、密鑰生命周期管理以及重要數據資源在系統中流轉和受保護情況進行評估，上報主管部門審核并備案。

• 測評準備

  被測評單位編制項目計劃書，提供基本資料，如管理架構、技術體系、運行情況、各種密碼安全管理制度及相關管理記錄等，填寫系統調查表，調查被測系統的基本信息、行業特征、密碼管理策略、網絡及設備部署情況，以供測評人員和機構初步了解被測信息系統的實際情況。同時準備好相關測評工具，如漏掃工具、性能測試工具、協議分析工具等。

• 方案編制

  根據0054基本要求，確定測評對象和測評指標，合理選擇測試接入點，分析系統內部算法、密碼協議應用的合規性和正確性，整理測評準備階段中獲取的信息系統相關資料，為現場測評提供基本的文檔和指導方案，并最終繪制成密碼測評方案。

• 現場測評

  開展訪談、文檔審查、實地查看、工具測試等，并做好過程與結果的記錄；確認具備測評開展的條件，測評對象工作正常，系統處于相對良好的狀況。測評結束后，確認測評工作是否對測評對象造成影響，測評對象及系統是否工作正常。

• 分析和報告編制

  現場測評完成后，根據現場的測評結果記錄進行分析，輸出測評結果，并準備編制測評報告。

  ”密評“的結論包括單項測評結論、整體測評結論、風險分析結論及最終的評估結論。

  a. 單項（單元）測評：根據單向測試結果情況，分為符合、不符合、部分符合和不試用四種情況。

  b. 整體測評：分為符合、部分符合、不符合三種情況。

  c. 風險分析：針對測評結果中部分符合項或不符合項所產生的安全問題，分析可能對被測系統造成的安全影響。根據威脅類型和威脅發生頻率，結合資產價值的高低和安全保護等級，對被測系統的風險值進行判定。

  d 報告編制：報告包括概述、被測系統描述、測評對象說明、測評指標說明、測評內容和方法、單項測評、整體測評、結果匯總、風險分析、測評結論以及整改建議等章節。