一、标准背景

根据《广东省省级政务信息化项目商用密码应用工作指引》提出的推进省级政务信息化项目密码应用工作要求以及广东省信息系统密码应用方案评估工作实际，基于当前密码应用方案评估工作缺少专业的指导性文件的现状，广东省商用密码协会组织多家单位针对密码应用方案评估编制了相关标准文件。从2021年11月申请立项，历经起草、征求意见阶段，标准编制单位参与修改多轮，并经专家审定。

2022年5月19日，广东省商用密码协会批准发布《信息系统密码应用方案评估规范》（T/GDCCA0001-2022）、《信息系统密码应用方案评估过程指南》（T/GDCCA 0002-2022）两项团体标准。两项团体标准的制定依据《密码法》、GB/T 39786-2021、GM/T 0115-2021、GM/T 0116-2021 等相关法律法规和标准规范，旨在统一密码应用方案评估标准，规范实施密码应用方案评估过程，对密码应用方案评估工作具有指导作用。两项团体标准于2022年6月1日起实施。

本文就《信息系统密码应用方案评估过程指南》（T/GDCCA 0002-2022）进行解读，分析密码应用方案评估工作的过程中涉及的活动、流程、阶段性输入输出物等。

《信息系统密码应用方案评估过程指南》

二、标准主要内容

1、总体要求

1.1密码应用方案评估工作的基本原则

评估人员对信息系统密码应用方案开展评估时，应遵循客观公正性原则、结果完善性原则。

‍‍

1.2密码应用方案评估方要求

密码应用方案评估方主要分为评估机构、评估专家组。

1.3密码应用方案评估信息泄露风险规避

1.4密码应用方案评估过程流程图

方案评估分为整体评估和变更评估两种类型。

整体评估由评估准备、评估修正、安全性审查、报告编制4个活动组成，包含10个主要任务，其中，安全性审查属于可选活动。

变更评估主要解决方案发生变化时该如何处理的问题，包含确定变更内容、出具评估意见2个主要任务。

2、评估准备

2.1评估准备主要任务

评估人员与委托单位举行沟通会议，讲解评估过程，明确必要项目信息，收集有关项目资料。评估准备包括项目启动、信息收集两项主要任务。

2.2评估准备输入输出物

系统基本信息表（模板）

注：相关信息将体现到密码应用方案密评报告中。

3、评估修正

3.1评估修正主要任务

评估人员对密码应用方案进行评估，并将评估后发现的问题和整改建议汇总反馈给方案编制方。方案编制方修改完成后，提交给评估人员。若修改后的方案仍然存在问题，则重复评估修正活动，直到确认方案无误。评估修正包括评估方案、修正方案和确认方案三项主要任务。

3.2评估方案

3.3修正方案

3.4确认方案

3.5评估修正输入输出物

问题汇总表（模板）

4、安全性审查

4.1安全性审查主要任务

如果方案中使用了包含非标准算法、协议的未经认证产品或服务而导致无法评估时，宜启动安全性审查。由委托单位提出申请，密码管理部门组织安全性审查。

4.2安全性审查输入输出物

5、报告编制

5.1报告编制主要任务

评估人员对评估过程中获得的系统基本信息、问题记录、密码应用方案进行汇总分析，形成评估结论，并编制评估报告。报告编制包括报告编写、报告确认、报告审核和报告输出四项主要任务。

5.2报告编制输入输出物

6、方案变更评估

6.1方案变更评估主要任务

密码应用方案评估完成后，如果委托单位对密码应用方案进行了关键性的更改，当前阶段的方案评估方应根据密码应用方案的变更情况出具评估意见，并根据评估意见确定是否重新开展方案整体评估工作。

（1）确定变更内容；

（2）出具评估意见。

6.2方案变更评估输入输出物

密码应用方案变更评估文件（模板）

三、标准实施意义

《中华人民共和国密码法》施行以来，大量的政务信息系统、关键基础设施密码改造与评估市场需求激增。当前工作中密码应用方案仍面临应用不规范、产品部署不正确、设计不合理等问题，对于密码应用方案评估也缺少过程指导文件。广东省商用密码协会率先制定并发布了《信息系统密码应用方案评估过程指南》（T/GDCCA 0002-2022）团体标准，规范了密码应用方案评估过程中工作流程，细化了具体工作内容，对密码应用方案评估工作有较大的指导作用，必将会进一步推动整个密评工作体系完善和创新。

声明：本文来自广东省商用密码协会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。