評估內容包括密碼應用安全的三個方面:合規性、正確性和有效性。
1) 商用密碼應用合規性評估
商用密碼應用合規性評估是指判定資訊系統使用的密碼演算法、密碼協議、金鑰管理是否符合法律法規都和密碼相關國家標準、行業標準的有關要求,使用的密碼產品和密碼服務是否經過國家密碼管理部門核准或由具備資格的機構認證合格。
2) 商用密碼應用正確性評估
商用密碼應用正確性評估是指判定密碼演算法、密碼協議、金鑰管理、密碼產品和服務使用是否正確,即系統中採用的標準密碼演算法、協議和金鑰管理機制是否按照相應的密碼國家和行業標準進行正確的設計和實現,自定義密碼協議、金鑰管理機制的設計和實現是否正確,安全性是否滿足要求,密碼保障系統建設或改造過程中密碼產品和服務的部署和應用是否正確。
3) 商用密碼應有有效性評估
商用密碼應用有效性評估是指判定資訊系統中實現的密碼保障系統是否在資訊系統執行中發揮了實際效用,是否滿足了資訊系統的安全需求,是否切實解決了資訊系統面臨的安全問題。
評估內容包括密碼應用安全的三個方面:合規性、正確性和有效性。
1) 商用密碼應用合規性評估
商用密碼應用合規性評估是指判定資訊系統使用的密碼演算法、密碼協議、金鑰管理是否符合法律法規都和密碼相關國家標準、行業標準的有關要求,使用的密碼產品和密碼服務是否經過國家密碼管理部門核准或由具備資格的機構認證合格。
2) 商用密碼應用正確性評估
商用密碼應用正確性評估是指判定密碼演算法、密碼協議、金鑰管理、密碼產品和服務使用是否正確,即系統中採用的標準密碼演算法、協議和金鑰管理機制是否按照相應的密碼國家和行業標準進行正確的設計和實現,自定義密碼協議、金鑰管理機制的設計和實現是否正確,安全性是否滿足要求,密碼保障系統建設或改造過程中密碼產品和服務的部署和應用是否正確。
3) 商用密碼應有有效性評估
商用密碼應用有效性評估是指判定資訊系統中實現的密碼保障系統是否在資訊系統執行中發揮了實際效用,是否滿足了資訊系統的安全需求,是否切實解決了資訊系統面臨的安全問題。