4.9 通用测评方法
测评方面 | 测评要点 |
密码算法核查 | (1)了解系统使用的算法信息;(2)针对每个算法核查是否以国家标准或行业标准形式发布,或是否取得国家密码管理部门同意其使用的证明文件。不单独判定符合性 |
密码技术核查 | 在算法核查基础上,进一步核查密码协议、密钥管理等是否符合国家和行业标准规定。重点是评估这些密码技术的使用是否符合标准规定。如证书使用前要验证。不单独判定符合性 |
密码产品核查 | 是重点。(1)是否有型号证书或认证证书或合格检查报告。(2)产品是否被正确有效使用。如产品符合但使用了未经认可的算法或协议;又如产品错误使用配置被旁路,要做配置检查、工具检查。不单独判定符合性GM/T0115 附录B |
密码服务核查 | 系统使用了第三方电子认证服务的,(国家密码管理机构或商用密码认证机构)具备相应证书,且证书有效期内。不单独判定符合性 |
密钥管理安全性 | GM/T 0115-2021 [5.5] 附录A不单独判定符合性 |
4.10 报告编制及监督检查
词条 | 内容 |
测评报告生命周期 | 报告编制、审核、批准和签发、存档、作废和销毁,以及必要时进行报告的更正 |
测评报告编制 |
|
测评报告审核 | 由项目负责人对报告进行审核
审核人员发现问题,应与测评人员和报告编制人员确认,经确认后由报告编制人员进行修改。 |
测评报告批准和签发 | 批准由测评机构授权签字人负责实施。检查出必须纠正的问题,由签字人在测评报告上提出并退回相关部门或人员,由报告编制人员实施修改。
经批准的报告打印装订后,统一加盖测评报告专用章和骑缝章。 |
测评报告存档 | 由测评机构文档管理人员对测评报告副本及相关原始记录(包含电子版)进行归档保存,且原始记录归档前需加盖骑缝章。 测评报告副本及原始记录保存期一般为6年。 测评机构存档的报告及相关文档只允许相关内部人员查阅,查阅测评报告须经过审批。 |
测评报告更正 |
加入明显标识“本报告为XXXXXX号报告的更正报告,原报告作废。”更正报告按要求编制、审核和批准。签发日期为实际签发日期。 |
测评报告作废和销毁 | 需对报告进行销毁时,由机构文档管理人员首先填写申请,报测评机构签发部门负责人批准后,再进行统一销毁。 对于因为法律、知识积累、溯源等因素需要保留作废文件的,加盖明显标识印章,防止其与有效文件相混淆,发生误用或乱用。 |
保密要求 | 确保测评相关信息的安全、保密
对测评机构、测评人员具体要求如下:
|
测评相关信息报送 |
|
测评信息的采集、报送 | 国家密码管理部门组织开展密码应用数据库建设,数据三方面来源:(1)系统运营单位填报(2)结合系统密码应用安全性评估情况,由测评单位填报更为详细的密码应用数据(3)重要领域密码应用检查时,对有关数据进行核实校正。
|
测评报告监督检查 |
|
监督检查要点 |
|
检查方式 | 采取抽查方式,对测评报告进行检查。“双随机”方式,选取抽查对象、参与抽查的人员,抽查对象选取比例可动态调整,应不低于5%。 对测评报告检查发送处理意见书的情形主要包括:测评报告与实际情况不符,测评结果不公正、不客观,以及其他违反规定的情况。 |
罚则 |
|
报告编制常见问题 |
|
测评理解不深入 |
|
测评对象不全面 |
|
测评过程不合理 |
|
测评结论不正确 |
|