什麼是密評？密評有哪些流程？

密評是商用密碼應用安全性評估的簡稱，是指在採用商用密碼技術、產品和服務整合建設的網路和資訊系統中，對其密碼應用的合規性、正確性和有效性進行評估。簡單地說，就是對使用了商業密碼的系統進行評估，從而確保其密碼應用的合規、正確、有效。

密評的物件有哪些？

密評物件主要包括四個方面：

（1）基礎資訊網路：電信網路、廣播電視網、網際網路；

（2）涉及國計民生和基礎資訊資源的重要資訊系統：能源、教育、公安、測繪地理、社保、交通、衛生計生、金融等資訊系統

（3）重要工業控制系統：核設施、航空航天、先進製造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等工業控制系統；

（4）面向社會服務的政務資訊系統：黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的資訊系統。

關鍵資訊基礎設施、網路安全等級保護第三級及以上的資訊系統，密碼應用安全性評估每年至少一次。

密評有哪些要求？

資訊系統透過密評必須遵循密碼演演算法、密碼技術、密碼產品和密碼服務4個層面的要求。

密碼演演算法：密碼演演算法應符合法律法規規定和密碼標準和行業標準的有關要求。

密碼技術：密碼技術應遵循密碼相關國家標準和行業標準，重點關注加密技術的合規性。

密碼產品：密碼產品應透過國家密碼管理部門核准，需根據國家相關規定進行密碼產品安全等級確定和檢測。

密碼服務：用的密碼服務應透過國家密碼管理部門許可。如電子認證機構應獲得《電子認證服務使用密碼許可證》以及《電子認證服務許可證》。

密評的流程有哪些？

密評工作主要包括密碼應用方案評估、測評準備、方案編制、現場測評、分析和報告編制五個環節。

1.密碼應用方案評估

密碼應用方案評估是根據系統的定級情況，審查系統密碼應用設計方案或系統安全設計方案中密碼應用設計部分密碼防護措施是否滿足密碼使用要求或規定。

2.測評準備

被測評單位編制專案計劃書，提供基本資料，如管理架構、技術體系、執行情況、各種密碼安全管理制度及相關管理記錄等，填寫系統調查表，調查被測系統的基本資訊、行業特徵、密碼管理策略、網路及裝置部署情況，以供測評人員和機構初步瞭解被測資訊系統的實際情況。同時準備好相關測評工具，如漏掃工具、效能測試工具、協議分析工具等。

3.方案編制

根據政策基本要求，確定測評物件和測評指標，合理選擇測試接入點，分析系統內部演演算法、密碼協議應用的合規性和正確性，整理測評準備階段中獲取的資訊系統相關資料，為現場測評提供基本的檔案和指導方案，並最終繪製成密碼測評方案。

4.現場測評

開展訪談、檔案審查、實地檢視、工具測試等，並做好過程與結果的記錄；確認具備測評開展的條件，測評物件工作正常，系統處於相對良好的狀況。測評結束後，確認測評工作是否對測評物件造成影響，測評物件及系統是否工作正常。

5.分析和報告編制

現場測評完成後，根據現場的測評結果記錄進行分析，輸出測評結果，並準備編制測評報告，包括單項測評結論、整體測評結論、風險分析結論及最終的評估結論。