GB/TXXXXX—XXXXGB/TXXXXX—XXXX信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求范圍本文件規(guī)定了信息系統(tǒng)不同等級(jí)密碼應(yīng)用的測(cè)評(píng)要求，從密碼算法合規(guī)性、密碼技術(shù)合規(guī)性、密碼產(chǎn)品合規(guī)性、密碼服務(wù)合規(guī)性以及密鑰管理安全性等方面，提出了第一級(jí)到第五級(jí)的密碼應(yīng)用通用測(cè)評(píng)要求；從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等四個(gè)技術(shù)層面提出了第一級(jí)到第四級(jí)的密碼應(yīng)用技術(shù)測(cè)評(píng)要求；從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置等四個(gè)管理方面提出了第一級(jí)到第四級(jí)的密碼應(yīng)用管理測(cè)評(píng)要求，并給出了整體測(cè)評(píng)、風(fēng)險(xiǎn)分析和評(píng)價(jià)、評(píng)估結(jié)論等測(cè)評(píng)環(huán)節(jié)的要求。本文件適用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用在規(guī)劃、建設(shè)、運(yùn)行環(huán)節(jié)的商用密碼應(yīng)用安全性評(píng)估工作。注：第五級(jí)密碼應(yīng)用測(cè)評(píng)要求只在本文件中描述通用測(cè)評(píng)要求。規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GM/Z4001密碼術(shù)語(yǔ)術(shù)語(yǔ)和定義GB/T39786-2021和GM/Z4001界定的以及下列術(shù)語(yǔ)和定義適用于本文件。商用密碼應(yīng)用安全性評(píng)估人員commercialcryptographyapplicationsecurityevaluationstaff是指商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)中從事商用密碼應(yīng)用安全性評(píng)估的人員，簡(jiǎn)稱“密評(píng)人員”。核查examine密評(píng)人員對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)和分析，以幫助密評(píng)人員理解、澄清或取得證據(jù)的過(guò)程。概述本文件根據(jù)GB/T39786-2021，將信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求分為通用測(cè)評(píng)要求和密碼應(yīng)用測(cè)評(píng)要求。第5章通用測(cè)評(píng)要求的內(nèi)容，用于指導(dǎo)第6章密碼應(yīng)用測(cè)評(píng)要求的實(shí)施，不單獨(dú)實(shí)施測(cè)評(píng)，也不單獨(dú)體現(xiàn)在密碼應(yīng)用安全性評(píng)估報(bào)告的單元測(cè)評(píng)結(jié)果和整體測(cè)評(píng)結(jié)果中。資料性附錄A密鑰生存周期管理檢查要點(diǎn)供第5.5節(jié)“密鑰管理安全性”的測(cè)評(píng)實(shí)施參考。資料性附錄B和資料性附錄C分別給出了典型密碼產(chǎn)品應(yīng)用測(cè)評(píng)技術(shù)和典型密碼功能測(cè)評(píng)技術(shù)，供密評(píng)人員在對(duì)信息系統(tǒng)中具體使用的密碼產(chǎn)品或應(yīng)用的密碼功能進(jìn)行測(cè)評(píng)實(shí)施時(shí)參考。本文件中的測(cè)評(píng)單元對(duì)應(yīng)一組相對(duì)獨(dú)立和完整的測(cè)評(píng)內(nèi)容，由測(cè)評(píng)指標(biāo)、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和結(jié)果判定組成。測(cè)評(píng)指標(biāo)：來(lái)源于GB/T39786-2021中各級(jí)的要求項(xiàng)，在每條指標(biāo)后面注明了指標(biāo)對(duì)應(yīng)的安全等級(jí)；測(cè)評(píng)對(duì)象：信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程中不同測(cè)評(píng)方法作用的對(duì)象，包括相關(guān)物理安防設(shè)施、通信信道、密碼產(chǎn)品、通用設(shè)備、應(yīng)用、人員、制度文檔等；測(cè)評(píng)實(shí)施：針對(duì)某個(gè)測(cè)評(píng)指標(biāo)，規(guī)定了信息系統(tǒng)密碼應(yīng)用的測(cè)評(píng)要點(diǎn)；結(jié)果判定：根據(jù)測(cè)評(píng)實(shí)施取得的證據(jù)，判定信息系統(tǒng)的密碼應(yīng)用是否滿足某個(gè)測(cè)評(píng)指標(biāo)要求的方法和原則。若測(cè)評(píng)單元涉及兩個(gè)及以上測(cè)評(píng)對(duì)象，則每個(gè)測(cè)評(píng)對(duì)象需要分別進(jìn)行測(cè)評(píng)實(shí)施并結(jié)果判定。測(cè)評(píng)單元的結(jié)果由該單元涉及的所有測(cè)評(píng)對(duì)象的測(cè)評(píng)實(shí)施結(jié)果匯總得出。密評(píng)人員在開(kāi)展實(shí)際測(cè)評(píng)時(shí)，對(duì)于GB/T39786-2021中的不同安全保護(hù)等級(jí)的“可”“宜”“應(yīng)”的條款，按照如下方法確定是否將其納入測(cè)評(píng)范圍。對(duì)于“可”的條款，由信息系統(tǒng)責(zé)任方自行決定是否納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍。若經(jīng)信息系統(tǒng)責(zé)任方確認(rèn)，信息系統(tǒng)確無(wú)與某項(xiàng)或某些項(xiàng)測(cè)評(píng)指標(biāo)相關(guān)的密碼應(yīng)用需求，則相應(yīng)測(cè)評(píng)指標(biāo)為“不適用”。若納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍，則密評(píng)人員應(yīng)按照第6章相應(yīng)的測(cè)評(píng)指標(biāo)要求進(jìn)行測(cè)評(píng)和結(jié)果判定；若未納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍但信息系統(tǒng)有相關(guān)的密碼應(yīng)用需求，密評(píng)人員應(yīng)根據(jù)信息系統(tǒng)的密碼應(yīng)用方案，在測(cè)評(píng)中進(jìn)一步核實(shí)密碼應(yīng)用方案中所描述的風(fēng)險(xiǎn)控制措施使用條件在實(shí)際的信息系統(tǒng)中是否被滿足，且信息系統(tǒng)的實(shí)施情況與所描述的風(fēng)險(xiǎn)控制措施是否一致。若滿足使用條件，該測(cè)評(píng)指標(biāo)為“不適用”，并在密碼應(yīng)用安全性評(píng)估報(bào)告中體現(xiàn)核實(shí)過(guò)程和結(jié)果；若不滿足使用條件，則應(yīng)按照密碼應(yīng)用方案中的描述進(jìn)行測(cè)評(píng)和結(jié)果判定。對(duì)于“宜”的條款，密評(píng)人員根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評(píng)估意見(jiàn)決定是否納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍。若根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評(píng)估意見(jiàn)，判定信息系統(tǒng)確無(wú)與某項(xiàng)或某些項(xiàng)測(cè)評(píng)指標(biāo)相關(guān)的密碼應(yīng)用需求，則相應(yīng)測(cè)評(píng)指標(biāo)為“不適用”；若信息系統(tǒng)沒(méi)有通過(guò)評(píng)估的密碼應(yīng)用方案或密碼應(yīng)用方案未做明確說(shuō)明，則“宜”的條款默認(rèn)納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍。若納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍，則密評(píng)人員應(yīng)按照第6章相應(yīng)的測(cè)評(píng)指標(biāo)要求進(jìn)行測(cè)評(píng)和結(jié)果判定；若未納入標(biāo)準(zhǔn)符合性測(cè)評(píng)范圍但信息系統(tǒng)有相關(guān)的密碼應(yīng)用需求，密評(píng)人員應(yīng)根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評(píng)估意見(jiàn)，在測(cè)評(píng)中進(jìn)一步核實(shí)密碼應(yīng)用方案中所描述的風(fēng)險(xiǎn)控制措施使用條件在實(shí)際的信息系統(tǒng)中是否被滿足，且信息系統(tǒng)的實(shí)施情況與所描述的風(fēng)險(xiǎn)控制措施是否一致。若滿足使用條件，該測(cè)評(píng)指標(biāo)為“不適用”，并在密碼應(yīng)用安全性評(píng)估報(bào)告中體現(xiàn)核實(shí)過(guò)程和結(jié)果；若不滿足使用條件，則應(yīng)按照第6章相應(yīng)的測(cè)評(píng)指標(biāo)要求進(jìn)行測(cè)評(píng)和結(jié)果判定。對(duì)于“應(yīng)”的條款，密評(píng)人員應(yīng)按照第6章相應(yīng)的測(cè)評(píng)指標(biāo)要求進(jìn)行測(cè)評(píng)和結(jié)果判定。若根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評(píng)估意見(jiàn)，判定信息系統(tǒng)確無(wú)與某項(xiàng)或某些項(xiàng)測(cè)評(píng)指標(biāo)相關(guān)的密碼應(yīng)用需求，則相應(yīng)測(cè)評(píng)指標(biāo)為“不適用”。根據(jù)信息系統(tǒng)的密碼應(yīng)用方案和方案評(píng)估意見(jiàn)，若通過(guò)評(píng)估的密碼應(yīng)用方案中的要求，高于信息系統(tǒng)相對(duì)應(yīng)的密碼應(yīng)用基本要求等級(jí)的指標(biāo)要求，則應(yīng)按照密碼應(yīng)用方案中的要求進(jìn)行測(cè)評(píng)。例如，根據(jù)密碼應(yīng)用需求，對(duì)安全保護(hù)等級(jí)第三級(jí)的信息系統(tǒng)，選取了安全保護(hù)等級(jí)第四級(jí)信息系統(tǒng)的相關(guān)指標(biāo)要求。對(duì)上述特殊情況進(jìn)行測(cè)評(píng)實(shí)施的結(jié)論應(yīng)體現(xiàn)在密碼應(yīng)用安全性評(píng)估報(bào)告中。信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)的最終輸出是商用密碼應(yīng)用安全性評(píng)估報(bào)告，在報(bào)告中應(yīng)給出各個(gè)測(cè)評(píng)單元（見(jiàn)第6章）的測(cè)評(píng)結(jié)果、整體測(cè)評(píng)結(jié)果（見(jiàn)第7章），以及在進(jìn)行風(fēng)險(xiǎn)分析和評(píng)價(jià)（見(jiàn)第8章）后給出的評(píng)估結(jié)論（見(jiàn)第9章）。其中，第7章整體測(cè)評(píng)結(jié)果是以測(cè)評(píng)單元的判定結(jié)果為基礎(chǔ)，經(jīng)單元間、層面間測(cè)評(píng)相互彌補(bǔ)后得出的糾正結(jié)果；第8章風(fēng)險(xiǎn)分析和評(píng)價(jià)是對(duì)整體測(cè)評(píng)結(jié)果中的不符合項(xiàng)和部分符合項(xiàng)，判斷信息系統(tǒng)密碼應(yīng)用在合規(guī)性、正確性和有效性方面的不符合所產(chǎn)生的安全問(wèn)題被威脅利用后對(duì)信息系統(tǒng)造成影響的程度；第9章評(píng)估結(jié)論是由綜合得分以及風(fēng)險(xiǎn)分析和評(píng)價(jià)共同決定，表示信息系統(tǒng)達(dá)到相應(yīng)等級(jí)保護(hù)要求的程度。通用測(cè)評(píng)要求密碼算法合規(guī)性測(cè)評(píng)指標(biāo)信息系統(tǒng)中使用的密碼算法應(yīng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求（第一級(jí)到第五級(jí)）。測(cè)評(píng)對(duì)象信息系統(tǒng)中使用的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)。測(cè)評(píng)實(shí)施了解系統(tǒng)使用的算法名稱、用途、何處使用、執(zhí)行設(shè)備及其實(shí)現(xiàn)方式（軟件、硬件或固件），核查密碼算法是否以國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)形式發(fā)布，或取得國(guó)家密碼管理部門(mén)同意使用的證明文件。結(jié)果判定本單元測(cè)評(píng)指標(biāo)不單獨(dú)判定符合性。密碼技術(shù)合規(guī)性測(cè)評(píng)指標(biāo)信息系統(tǒng)中使用的密碼技術(shù)應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)（第一級(jí)到第五級(jí)）。測(cè)評(píng)對(duì)象信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼技術(shù)實(shí)現(xiàn)。測(cè)評(píng)實(shí)施核查系統(tǒng)所使用的密碼技術(shù)是否以國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)形式發(fā)布，或取得國(guó)家密碼管理部門(mén)同意使用的證明文件。結(jié)果判定本單元測(cè)評(píng)指標(biāo)不單獨(dú)判定符合性。密碼產(chǎn)品合規(guī)性測(cè)評(píng)指標(biāo)信息系統(tǒng)中使用的密碼產(chǎn)品應(yīng)符合法律法規(guī)和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的要求（第一級(jí)到第五級(jí)）。若采用的密碼產(chǎn)品遵循密碼模塊相關(guān)標(biāo)準(zhǔn)，則應(yīng)：達(dá)到密碼模塊安全等級(jí)一級(jí)及以上安全要求（第二級(jí)）。達(dá)到密碼模塊安全等級(jí)二級(jí)及以上安全要求（第三級(jí)）。達(dá)到密碼模塊安全等級(jí)三級(jí)及以上安全要求（第四級(jí)）。測(cè)評(píng)對(duì)象信息系統(tǒng)中的密碼產(chǎn)品。測(cè)評(píng)實(shí)施了解信息系統(tǒng)中密碼產(chǎn)品的型號(hào)和版本等配置信息，核查密碼產(chǎn)品是否經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格，并核查密碼產(chǎn)品的使用是否滿足其安全運(yùn)行的條件，如其安全策略或使用手冊(cè)說(shuō)明的部署條件；遵循了密碼模塊相關(guān)標(biāo)準(zhǔn)的密碼產(chǎn)品，還要核查其是否滿足密碼模塊相應(yīng)安全等級(jí)及以上安全要求。結(jié)果判定本單元測(cè)評(píng)指標(biāo)不單獨(dú)判定符合性。密碼服務(wù)合規(guī)性測(cè)評(píng)指標(biāo)信息系統(tǒng)中使用的密碼服務(wù)應(yīng)符合法律法規(guī)和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的要求（第一級(jí)到第五級(jí)）。測(cè)評(píng)對(duì)象信息系統(tǒng)中的密碼服務(wù)。測(cè)評(píng)實(shí)施核查信息系統(tǒng)中密碼服務(wù)是否經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格或取得國(guó)家密碼管理部門(mén)同意使用的證明文件。結(jié)果判定本單元測(cè)評(píng)指標(biāo)不單獨(dú)判定符合性。密鑰管理安全性測(cè)評(píng)指標(biāo)信息系統(tǒng)的密鑰管理采用的密碼產(chǎn)品、密碼服務(wù)應(yīng)符合法律法規(guī)和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的要求（第一級(jí)到第五級(jí)）。信息系統(tǒng)的密鑰管理應(yīng)符合密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的要求（第一級(jí)到第五級(jí)）。測(cè)評(píng)對(duì)象密鑰管理采用的密碼產(chǎn)品、密碼服務(wù)及密鑰管理實(shí)現(xiàn)。測(cè)評(píng)實(shí)施核查密鑰管理使用的密碼產(chǎn)品、密碼服務(wù)是否滿足第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”的要求。核查信息系統(tǒng)中密鑰管理安全性實(shí)現(xiàn)技術(shù)是否正確有效。例如：非公開(kāi)密鑰是否不能被非授權(quán)的訪問(wèn)、使用、泄露、修改和替換，公開(kāi)密鑰是否不能被非授權(quán)的修改和替換。結(jié)果判定本單元測(cè)評(píng)指標(biāo)不單獨(dú)判定符合性。密碼應(yīng)用測(cè)評(píng)要求物理和環(huán)境安全身份鑒別6.1.1.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)進(jìn)行物理訪問(wèn)身份鑒別，保證重要區(qū)域進(jìn)入人員身份的真實(shí)性（第一級(jí)到第四級(jí)）。6.1.1.2測(cè)評(píng)對(duì)象信息系統(tǒng)所在機(jī)房等重要區(qū)域及其電子門(mén)禁系統(tǒng)。6.1.1.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查電子門(mén)禁系統(tǒng)是否采用動(dòng)態(tài)口令機(jī)制、基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)重要區(qū)域進(jìn)入人員進(jìn)行身份鑒別，并驗(yàn)證進(jìn)入人員身份真實(shí)性實(shí)現(xiàn)機(jī)制是否正確和有效。6.1.1.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。電子門(mén)禁記錄數(shù)據(jù)存儲(chǔ)完整性6.1.2.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證電子門(mén)禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)的存儲(chǔ)完整性（第一級(jí)到第四級(jí)）。6.1.2.2測(cè)評(píng)對(duì)象信息系統(tǒng)所在機(jī)房等重要區(qū)域及其電子門(mén)禁系統(tǒng)。6.1.2.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)電子門(mén)禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)進(jìn)行存儲(chǔ)完整性保護(hù)，并驗(yàn)證完整性保護(hù)機(jī)制是否正確和有效。6.1.2.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。視頻監(jiān)控記錄數(shù)據(jù)存儲(chǔ)完整性6.1.3.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證視頻監(jiān)控音像記錄數(shù)據(jù)的存儲(chǔ)完整性（第三級(jí)到第四級(jí)）。6.1.3.2測(cè)評(píng)對(duì)象信息系統(tǒng)所在機(jī)房等重要區(qū)域及其視頻監(jiān)控系統(tǒng)。6.1.3.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)視頻監(jiān)控音像記錄數(shù)據(jù)進(jìn)行存儲(chǔ)完整性保護(hù)，并驗(yàn)證完整性保護(hù)機(jī)制是否正確和有效。6.1.3.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。網(wǎng)絡(luò)和通信安全身份鑒別6.2.1.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行身份鑒別，保證通信實(shí)體身份的真實(shí)性（第一級(jí)到第三級(jí)）。采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向身份鑒別，保證通信實(shí)體身份的真實(shí)性（第四級(jí)）。6.2.1.2測(cè)評(píng)對(duì)象信息系統(tǒng)與網(wǎng)絡(luò)邊界外建立的網(wǎng)絡(luò)通信信道，以及提供通信保護(hù)功能的設(shè)備或組件、密碼產(chǎn)品。6.2.1.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)通信實(shí)體進(jìn)行身份鑒別（第一級(jí)到第三級(jí)）/雙向身份鑒別（第四級(jí)），并驗(yàn)證通信實(shí)體身份真實(shí)性實(shí)現(xiàn)機(jī)制是否正確和有效。6.2.1.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。通信數(shù)據(jù)完整性6.2.2.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性（第一級(jí)到第四級(jí)）。6.2.2.2測(cè)評(píng)對(duì)象信息系統(tǒng)與網(wǎng)絡(luò)邊界外建立的網(wǎng)絡(luò)通信信道，以及提供通信保護(hù)功能的設(shè)備或組件、密碼產(chǎn)品。6.2.2.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)通信過(guò)程中的數(shù)據(jù)進(jìn)行完整性保護(hù)，并驗(yàn)證通信數(shù)據(jù)完整性保護(hù)機(jī)制是否正確和有效。6.2.2.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。通信過(guò)程中重要數(shù)據(jù)的機(jī)密性6.2.3.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證通信過(guò)程中重要數(shù)據(jù)的機(jī)密性（第一級(jí)到第四級(jí)）。6.2.3.2測(cè)評(píng)對(duì)象信息系統(tǒng)與網(wǎng)絡(luò)邊界外建立的網(wǎng)絡(luò)通信信道，以及提供通信保護(hù)功能的設(shè)備或組件、密碼產(chǎn)品。6.2.3.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用密碼技術(shù)的加解密功能對(duì)通信過(guò)程中敏感信息或通信報(bào)文進(jìn)行機(jī)密性保護(hù)，并驗(yàn)證敏感信息或通信報(bào)文機(jī)密性保護(hù)機(jī)制是否正確和有效。6.2.3.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。網(wǎng)絡(luò)邊界訪問(wèn)控制信息的完整性6.2.4.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問(wèn)控制信息的完整性（第一級(jí)到第四級(jí)）。6.2.4.2測(cè)評(píng)對(duì)象信息系統(tǒng)與網(wǎng)絡(luò)邊界外建立的網(wǎng)絡(luò)通信信道，以及提供網(wǎng)絡(luò)邊界訪問(wèn)控制功能的設(shè)備或組件、密碼產(chǎn)品。6.2.4.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)網(wǎng)絡(luò)邊界訪問(wèn)控制信息進(jìn)行完整性保護(hù)，并驗(yàn)證網(wǎng)絡(luò)邊界訪問(wèn)控制信息完整性保護(hù)機(jī)制是否正確和有效。6.2.4.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。安全接入認(rèn)證6.2.5.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)對(duì)從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證，確保接入設(shè)備身份的真實(shí)性（第三級(jí)到第四級(jí)）。6.2.5.2測(cè)評(píng)對(duì)象信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)，以及提供設(shè)備入網(wǎng)接入認(rèn)證功能的設(shè)備或組件、密碼產(chǎn)品。6.2.5.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證，并驗(yàn)證安全接入認(rèn)證機(jī)制是否正確和有效。6.2.5.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。設(shè)備和計(jì)算安全身份鑒別6.3.1.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)對(duì)登錄設(shè)備的用戶進(jìn)行身份鑒別，保證用戶身份的真實(shí)性（第一級(jí)到第四級(jí)）。6.3.1.2測(cè)評(píng)對(duì)象通用設(shè)備、網(wǎng)絡(luò)及安全設(shè)備、密碼設(shè)備、各類虛擬設(shè)備，以及提供身份鑒別功能的密碼產(chǎn)品。6.3.1.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用動(dòng)態(tài)口令機(jī)制、基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)設(shè)備操作人員等登錄設(shè)備的用戶進(jìn)行身份鑒別，并驗(yàn)證登錄設(shè)備的用戶身份真實(shí)性實(shí)現(xiàn)機(jī)制是否正確和有效。6.3.1.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。遠(yuǎn)程管理通道安全6.3.2.1測(cè)評(píng)指標(biāo)遠(yuǎn)程管理設(shè)備時(shí)，采用密碼技術(shù)建立安全的信息傳輸通道（第三級(jí)到第四級(jí)）。6.3.2.2測(cè)評(píng)對(duì)象通用設(shè)備、網(wǎng)絡(luò)及安全設(shè)備、密碼設(shè)備、各類虛擬設(shè)備，以及提供安全的信息傳輸通道的密碼產(chǎn)品。6.3.2.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查遠(yuǎn)程管理時(shí)是否采用密碼技術(shù)建立安全的信息傳輸通道，包括身份鑒別、傳輸數(shù)據(jù)機(jī)密性和完整性保護(hù)，并驗(yàn)證遠(yuǎn)程管理信道所采用的密碼技術(shù)實(shí)現(xiàn)機(jī)制是否正確和有效。6.3.2.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。系統(tǒng)資源訪問(wèn)控制信息完整性6.3.3.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證系統(tǒng)資源訪問(wèn)控制信息的完整性（第一級(jí)到第四級(jí)）。6.3.3.2測(cè)評(píng)對(duì)象通用設(shè)備、網(wǎng)絡(luò)及安全設(shè)備、密碼設(shè)備、各類虛擬設(shè)備，以及提供完整性保護(hù)功能的密碼產(chǎn)品。6.3.3.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)設(shè)備上系統(tǒng)資源訪問(wèn)控制信息進(jìn)行完整性保護(hù)，并驗(yàn)證系統(tǒng)資源訪問(wèn)控制信息完整性保護(hù)機(jī)制是否正確和有效。6.3.3.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。重要信息資源安全標(biāo)記完整性6.3.4.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證設(shè)備中的重要信息資源安全標(biāo)記的完整性（第三級(jí)到第四級(jí)）。6.3.4.2測(cè)評(píng)對(duì)象通用設(shè)備、網(wǎng)絡(luò)及安全設(shè)備、密碼設(shè)備、各類虛擬設(shè)備，以及提供完整性保護(hù)功能的密碼產(chǎn)品。6.3.4.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)設(shè)備中的重要信息資源安全標(biāo)記進(jìn)行完整性保護(hù)，并驗(yàn)證安全標(biāo)記完整性保護(hù)機(jī)制是否正確和有效。6.3.4.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。日志記錄完整性6.3.5.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證日志記錄的完整性（第一級(jí)到第四級(jí)）。6.3.5.2測(cè)評(píng)對(duì)象通用設(shè)備、網(wǎng)絡(luò)及安全設(shè)備、密碼設(shè)備、各類虛擬設(shè)備，以及提供完整性保護(hù)功能的密碼產(chǎn)品。6.3.5.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)設(shè)備運(yùn)行的日志記錄進(jìn)行完整性保護(hù)，并驗(yàn)證日志記錄完整性保護(hù)機(jī)制是否正確和有效。6.3.5.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。重要可執(zhí)行程序完整性、重要可執(zhí)行程序來(lái)源真實(shí)性6.3.6.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù)，并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證（第三級(jí)到第四級(jí)）。6.3.6.2測(cè)評(píng)對(duì)象通用設(shè)備、網(wǎng)絡(luò)及安全設(shè)備、密碼設(shè)備、各類虛擬設(shè)備，以及提供完整性保護(hù)和來(lái)源真實(shí)性功能的密碼產(chǎn)品。6.3.6.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查是否采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù)并實(shí)現(xiàn)其來(lái)源的真實(shí)性保護(hù)，并驗(yàn)證重要可執(zhí)行程序完整性保護(hù)機(jī)制和其來(lái)源真實(shí)性實(shí)現(xiàn)機(jī)制是否正確和有效。6.3.6.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。應(yīng)用和數(shù)據(jù)安全身份鑒別6.4.1.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)對(duì)登錄用戶進(jìn)行身份鑒別，保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性（第一級(jí)到第四級(jí)）。6.4.1.2測(cè)評(píng)對(duì)象業(yè)務(wù)應(yīng)用，以及提供身份鑒別功能的密碼產(chǎn)品。6.4.1.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查應(yīng)用系統(tǒng)是否采用動(dòng)態(tài)口令機(jī)制、基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)登錄用戶進(jìn)行身份鑒別，并驗(yàn)證應(yīng)用系統(tǒng)用戶身份真實(shí)性實(shí)現(xiàn)機(jī)制是否正確和有效。6.4.1.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。訪問(wèn)控制信息完整性6.4.2.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的訪問(wèn)控制信息的完整性（第一級(jí)到第四級(jí)）。6.4.2.2測(cè)評(píng)對(duì)象業(yè)務(wù)應(yīng)用，以及提供完整性保護(hù)功能的密碼產(chǎn)品。6.4.2.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查信息系統(tǒng)是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)應(yīng)用的訪問(wèn)控制信息進(jìn)行完整性保護(hù)，并驗(yàn)證應(yīng)用的訪問(wèn)控制信息完整性保護(hù)機(jī)制是否正確和有效。6.4.2.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。重要信息資源安全標(biāo)記完整性6.4.3.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要信息資源安全標(biāo)記的完整性（第三級(jí)到第四級(jí)）。6.4.3.2測(cè)評(píng)對(duì)象業(yè)務(wù)應(yīng)用，以及提供完整性保護(hù)功能的密碼產(chǎn)品。6.4.3.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查應(yīng)用系統(tǒng)是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)應(yīng)用的重要信息資源安全標(biāo)記進(jìn)行完整性保護(hù)，并驗(yàn)證安全標(biāo)記完整性保護(hù)機(jī)制是否正確和有效。6.4.3.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。重要數(shù)據(jù)傳輸機(jī)密性6.4.4.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性（第一級(jí)到第四級(jí)）。6.4.4.2測(cè)評(píng)對(duì)象業(yè)務(wù)應(yīng)用，以及提供機(jī)密性保護(hù)功能的密碼產(chǎn)品。6.4.4.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查應(yīng)用系統(tǒng)是否采用密碼技術(shù)的加解密功能對(duì)重要數(shù)據(jù)在傳輸過(guò)程中進(jìn)行機(jī)密性保護(hù)，并驗(yàn)證傳輸數(shù)據(jù)機(jī)密性保護(hù)機(jī)制是否正確和有效。6.4.4.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。重要數(shù)據(jù)存儲(chǔ)機(jī)密性6.4.5.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的機(jī)密性（第一級(jí)到第四級(jí)）。6.4.5.2測(cè)評(píng)對(duì)象業(yè)務(wù)應(yīng)用，以及提供機(jī)密性保護(hù)功能的密碼產(chǎn)品。6.4.5.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查應(yīng)用系統(tǒng)是否采用密碼技術(shù)的加解密功能對(duì)重要數(shù)據(jù)在存儲(chǔ)過(guò)程中進(jìn)行機(jī)密性保護(hù)，并驗(yàn)證存儲(chǔ)數(shù)據(jù)機(jī)密性保護(hù)機(jī)制是否正確和有效。6.4.5.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。重要數(shù)據(jù)傳輸完整性6.4.6.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過(guò)程中的完整性（第一級(jí)到第四級(jí)）。6.4.6.2測(cè)評(píng)對(duì)象業(yè)務(wù)應(yīng)用，以及提供完整性保護(hù)功能的密碼產(chǎn)品。6.4.6.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查應(yīng)用系統(tǒng)是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)重要數(shù)據(jù)在傳輸過(guò)程中進(jìn)行完整性保護(hù)，并驗(yàn)證傳輸數(shù)據(jù)完整性保護(hù)機(jī)制是否正確和有效。6.4.6.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。重要數(shù)據(jù)存儲(chǔ)完整性6.4.7.1測(cè)評(píng)指標(biāo)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性（第一級(jí)到第四級(jí)）。6.4.7.2測(cè)評(píng)對(duì)象業(yè)務(wù)應(yīng)用，以及提供完整性保護(hù)功能的密碼產(chǎn)品。6.4.7.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查應(yīng)用系統(tǒng)是否采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)重要數(shù)據(jù)在存儲(chǔ)過(guò)程中進(jìn)行完整性保護(hù)，并驗(yàn)證存儲(chǔ)數(shù)據(jù)完整性保護(hù)機(jī)制是否正確和有效。6.4.7.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。不可否認(rèn)性6.4.8.1測(cè)評(píng)指標(biāo)在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中，采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性（第三級(jí)到第四級(jí)）。6.4.8.2測(cè)評(píng)對(duì)象業(yè)務(wù)應(yīng)用，以及提供不可否認(rèn)性功能的密碼產(chǎn)品。6.4.8.3測(cè)評(píng)實(shí)施核查是否符合第5章通用測(cè)評(píng)要求中“密碼算法合規(guī)性”和“密碼技術(shù)合規(guī)性”的測(cè)評(píng)要求；核查是否符合第5章通用測(cè)評(píng)要求中“密碼產(chǎn)品合規(guī)性”“密碼服務(wù)合規(guī)性”和“密鑰管理安全性”的測(cè)評(píng)要求；核查應(yīng)用系統(tǒng)是否采用基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)數(shù)據(jù)原發(fā)行為和接收行為實(shí)現(xiàn)不可否認(rèn)性，并驗(yàn)證不可否認(rèn)性實(shí)現(xiàn)機(jī)制是否正確和有效。6.4.8.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；如果測(cè)評(píng)實(shí)施c）為否，則不符合本單元的測(cè)評(píng)指標(biāo)要求；否則，部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。管理制度具備密碼應(yīng)用安全管理制度6.5.1.1測(cè)評(píng)指標(biāo)具備密碼應(yīng)用安全管理制度，包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)急處置、密碼軟硬件及介質(zhì)管理等制度（第一級(jí)到第四級(jí)）。6.5.1.2測(cè)評(píng)對(duì)象安全管理制度類文檔。6.5.1.3測(cè)評(píng)實(shí)施核查各項(xiàng)安全管理制度是否包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)急處置、密碼軟硬件及介質(zhì)管理等制度。6.5.1.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。密鑰管理規(guī)則6.5.2.1測(cè)評(píng)指標(biāo)根據(jù)密碼應(yīng)用方案建立相應(yīng)密鑰管理規(guī)則（第一級(jí)到第四級(jí)）。6.5.2.2測(cè)評(píng)對(duì)象密碼應(yīng)用方案、密鑰管理制度及策略類文檔。6.5.2.3測(cè)評(píng)實(shí)施核查是否有通過(guò)評(píng)估的密碼應(yīng)用方案，并核查是否根據(jù)密碼應(yīng)用方案建立相應(yīng)密鑰管理規(guī)則（例如，密鑰管理制度及策略類文檔中的密鑰全生存周期的安全性保護(hù)相關(guān)內(nèi)容）且對(duì)密鑰管理規(guī)則進(jìn)行評(píng)審，以及核查信息系統(tǒng)中密鑰是否按照密鑰管理規(guī)則進(jìn)行生存周期的管理。6.5.2.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。建立操作規(guī)程6.5.3.1測(cè)評(píng)指標(biāo)對(duì)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程（第二級(jí)到第四級(jí)）。6.5.3.2測(cè)評(píng)對(duì)象操作規(guī)程類文檔。6.5.3.3測(cè)評(píng)實(shí)施核查是否對(duì)密碼相關(guān)管理人員或操作人員的日常管理操作建立操作規(guī)程。6.5.3.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。定期修訂安全管理制度6.5.4.1測(cè)評(píng)指標(biāo)定期對(duì)密碼應(yīng)用安全管理制度和操作規(guī)程的合理性和適用性進(jìn)行論證和審定，對(duì)存在不足或需要改進(jìn)之處進(jìn)行修訂（第三級(jí)到第四級(jí)）。6.5.4.2測(cè)評(píng)對(duì)象安全管理制度類文檔、操作規(guī)程類文檔、記錄表單類文檔。6.5.4.3測(cè)評(píng)實(shí)施核查是否定期對(duì)密碼應(yīng)用安全管理制度和操作規(guī)程的合理性和適用性進(jìn)行論證和審定；對(duì)經(jīng)論證和審定后存在不足或需要改進(jìn)的密碼應(yīng)用安全管理制度和操作規(guī)程，核查是否具有修訂記錄。6.5.4.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。明確管理制度發(fā)布流程6.5.5.1測(cè)評(píng)指標(biāo)明確相關(guān)密碼應(yīng)用安全管理制度和操作規(guī)程的發(fā)布流程并進(jìn)行版本控制（第三級(jí)到第四級(jí)）。6.5.5.2測(cè)評(píng)對(duì)象安全管理制度類文檔、操作規(guī)程類文檔、記錄表單類文檔。6.5.5.3測(cè)評(píng)實(shí)施核查相關(guān)密碼應(yīng)用安全管理制度和操作規(guī)程是否具有相應(yīng)明確的發(fā)布流程和版本控制。6.5.5.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。制度執(zhí)行過(guò)程記錄留存6.5.6.1測(cè)評(píng)指標(biāo)具有密碼應(yīng)用操作規(guī)程的相關(guān)執(zhí)行記錄并妥善保存（第三級(jí)到第四級(jí)）。6.5.6.2測(cè)評(píng)對(duì)象安全管理制度類文檔、記錄表單類文檔。6.5.6.3測(cè)評(píng)實(shí)施核查是否具有密碼應(yīng)用操作規(guī)程執(zhí)行過(guò)程中留存的相關(guān)執(zhí)行記錄文件。6.5.6.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。人員管理了解并遵守密碼相關(guān)法律法規(guī)和密碼管理制度6.6.1.1測(cè)評(píng)指標(biāo)相關(guān)人員了解并遵守密碼相關(guān)法律法規(guī)、密碼應(yīng)用安全管理制度（第一級(jí)到第四級(jí)）。6.6.1.2測(cè)評(píng)對(duì)象系統(tǒng)相關(guān)人員（包括系統(tǒng)負(fù)責(zé)人、安全主管、密鑰管理員、密碼安全審計(jì)員、密碼操作員等）。6.6.1.3測(cè)評(píng)實(shí)施核查系統(tǒng)相關(guān)人員是否了解并遵守密碼相關(guān)法律法規(guī)和密碼應(yīng)用安全管理制度。6.6.1.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。建立密碼應(yīng)用崗位責(zé)任制度6.6.2.1測(cè)評(píng)指標(biāo)建立密碼應(yīng)用崗位責(zé)任制度，明確各崗位在安全系統(tǒng)中的職責(zé)和權(quán)限（第二級(jí)）。建立密碼應(yīng)用崗位責(zé)任制度，明確各崗位在安全系統(tǒng)中的職責(zé)和權(quán)限（第三級(jí)）：根據(jù)密碼應(yīng)用的實(shí)際情況，設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位；對(duì)關(guān)鍵崗位建立多人共管機(jī)制；密鑰管理、密碼安全審計(jì)、密碼操作人員職責(zé)互相制約互相監(jiān)督，其中密碼安全審計(jì)員崗位不可與密鑰管理員、密碼操作員兼任；相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)不得多人共用。建立密碼應(yīng)用崗位責(zé)任制度，明確各崗位在安全系統(tǒng)中的職責(zé)和權(quán)限（第四級(jí)）：根據(jù)密碼應(yīng)用的實(shí)際情況，設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位；對(duì)關(guān)鍵崗位建立多人共管機(jī)制；密鑰管理、密碼安全審計(jì)、密碼操作人員職責(zé)互相制約互相監(jiān)督，其中密碼安全審計(jì)員崗位不可與密鑰管理員、密碼操作員兼任；相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)不得多人共用；密鑰管理員、密碼安全審計(jì)員、密碼操作員應(yīng)由本機(jī)構(gòu)的內(nèi)部員工擔(dān)任，并應(yīng)在任前對(duì)其進(jìn)行背景調(diào)查。6.6.2.2測(cè)評(píng)對(duì)象安全管理制度類文檔、系統(tǒng)相關(guān)人員（包括系統(tǒng)負(fù)責(zé)人、安全主管、密鑰管理員、密碼安全審計(jì)員、密碼操作員等）。6.6.2.3測(cè)評(píng)實(shí)施對(duì)于第二級(jí)系統(tǒng)，核查是否建立了密碼應(yīng)用崗位責(zé)任制度，安全管理制度中是否明確了各崗位在安全系統(tǒng)中的職責(zé)和權(quán)限。對(duì)于第三級(jí)系統(tǒng)，核查安全管理制度類文檔是否根據(jù)密碼應(yīng)用的實(shí)際情況，設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位并定義崗位職責(zé)；核查是否對(duì)關(guān)鍵崗位建立多人共管機(jī)制，并確認(rèn)密碼安全審計(jì)員崗位人員是否不兼任密鑰管理員、密碼操作員等關(guān)鍵安全崗位；核查相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)是否有多人共用情況。對(duì)于第四級(jí)系統(tǒng)，核查安全管理制度類文檔是否根據(jù)密碼應(yīng)用的實(shí)際情況，設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位并定義崗位職責(zé)；核查是否對(duì)關(guān)鍵崗位建立多人共管機(jī)制，并確認(rèn)密碼安全審計(jì)員崗位人員是否不兼任密鑰管理員、密碼操作員等關(guān)鍵安全崗位；核查相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)是否有多人共用情況；核查密鑰管理員、密碼安全審計(jì)員和密碼操作員是否由本機(jī)構(gòu)的內(nèi)部員工擔(dān)任，是否具有人員錄用時(shí)對(duì)錄用人身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄等。6.6.2.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上相應(yīng)等級(jí)的測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。建立上崗人員培訓(xùn)制度6.6.3.1測(cè)評(píng)指標(biāo)建立上崗人員培訓(xùn)制度，對(duì)于涉及密碼的操作和管理的人員進(jìn)行專門(mén)培訓(xùn)，確保其具備崗位所需專業(yè)技能（第二級(jí)到第四級(jí)）。6.6.3.2測(cè)評(píng)對(duì)象安全管理制度類文檔和記錄表單類文檔、系統(tǒng)相關(guān)人員（包括系統(tǒng)負(fù)責(zé)人、安全主管、密鑰管理員、密碼安全審計(jì)員、密碼操作員等）。6.6.3.3測(cè)評(píng)實(shí)施核查安全教育和培訓(xùn)計(jì)劃文檔是否具有針對(duì)涉及密碼的操作和管理的人員的培訓(xùn)計(jì)劃；核查安全教育和培訓(xùn)記錄是否有密碼培訓(xùn)人員、密碼培訓(xùn)內(nèi)容、密碼培訓(xùn)結(jié)果等的描述。6.6.3.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。定期進(jìn)行安全崗位人員考核6.6.4.1測(cè)評(píng)指標(biāo)定期對(duì)密碼應(yīng)用安全崗位人員進(jìn)行考核（第三級(jí)到第四級(jí)）。6.6.4.2測(cè)評(píng)對(duì)象安全管理制度類文檔和記錄表單類文檔、系統(tǒng)相關(guān)人員（包括系統(tǒng)負(fù)責(zé)人、安全主管、密鑰管理員、密碼安全審計(jì)員、密碼操作員等）。6.6.4.3測(cè)評(píng)實(shí)施核查安全管理制度文檔是否包含具體的人員考核制度和懲戒措施；核查人員考核記錄內(nèi)容是否包括安全意識(shí)、密碼操作管理技能及相關(guān)法律法規(guī)；核查記錄表單類文檔確認(rèn)是否定期進(jìn)行崗位人員考核。6.6.4.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。建立關(guān)鍵崗位人員保密制度和調(diào)離制度6.6.5.1測(cè)評(píng)指標(biāo)及時(shí)終止離崗人員的所有密碼應(yīng)用相關(guān)的訪問(wèn)權(quán)限、操作權(quán)限（第一級(jí)）。建立關(guān)鍵人員保密制度和調(diào)離制度，簽訂保密合同，承擔(dān)保密義務(wù)（第二級(jí)到第四級(jí)）。6.6.5.2測(cè)評(píng)對(duì)象安全管理制度類文檔和記錄表單類文檔、系統(tǒng)相關(guān)人員（包括系統(tǒng)負(fù)責(zé)人、安全主管、密鑰管理員、密碼安全審計(jì)員、密碼操作員等）。6.6.5.3測(cè)評(píng)實(shí)施對(duì)于第一級(jí)系統(tǒng)，核查人員離崗時(shí)是否具有及時(shí)終止其所有密碼應(yīng)用相關(guān)的訪問(wèn)權(quán)限、操作權(quán)限的記錄。對(duì)于第二級(jí)到第四級(jí)系統(tǒng)，核查人員離崗的管理文檔是否規(guī)定了關(guān)鍵崗位人員保密制度和調(diào)離制度等；核查保密協(xié)議是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。6.6.5.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上相應(yīng)等級(jí)的測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。建設(shè)運(yùn)行制定密碼應(yīng)用方案6.7.1.1測(cè)評(píng)指標(biāo)依據(jù)密碼相關(guān)標(biāo)準(zhǔn)和密碼應(yīng)用需求，制定密碼應(yīng)用方案（第一級(jí)到第四級(jí)）。6.7.1.2測(cè)評(píng)對(duì)象密碼應(yīng)用方案。6.7.1.3測(cè)評(píng)實(shí)施核查在信息系統(tǒng)規(guī)劃階段，是否依據(jù)密碼相關(guān)標(biāo)準(zhǔn)和信息系統(tǒng)密碼應(yīng)用需求，制定密碼應(yīng)用方案，并核查方案是否通過(guò)評(píng)估。6.7.1.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。制定密鑰安全管理策略6.7.2.1測(cè)評(píng)指標(biāo)根據(jù)密碼應(yīng)用方案，確定系統(tǒng)涉及的密鑰種類、體系及其生存周期環(huán)節(jié)，各環(huán)節(jié)密鑰管理要求參照GB/T39786-2021附錄B（第一級(jí)到第四級(jí)）。6.7.2.2測(cè)評(píng)對(duì)象密碼應(yīng)用方案、密鑰管理制度及策略類文檔、密鑰管理過(guò)程記錄。6.7.2.3測(cè)評(píng)實(shí)施核查是否有通過(guò)評(píng)估的密碼應(yīng)用方案；核查密鑰管理制度及策略類文檔是否確定系統(tǒng)設(shè)計(jì)的密鑰種類、體系及其生存周期環(huán)節(jié)，是否與密碼應(yīng)用方案一致；若信息系統(tǒng)沒(méi)有相應(yīng)的密碼應(yīng)用方案，則核查密鑰管理制度及策略類文檔是否根據(jù)GB/T39786-2021附錄B進(jìn)行制定。核查相關(guān)密鑰管理過(guò)程記錄，核查是否按照密鑰管理制度及策略類文檔完成密鑰管理。6.7.2.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。制定實(shí)施方案6.7.3.1測(cè)評(píng)指標(biāo)按照應(yīng)用方案實(shí)施建設(shè)（第一級(jí)到第四級(jí)）。6.7.3.2測(cè)評(píng)對(duì)象密碼實(shí)施方案。6.7.3.3測(cè)評(píng)實(shí)施核查是否有通過(guò)評(píng)估的密碼應(yīng)用方案，并核查是否按照密碼應(yīng)用方案，制定密碼實(shí)施方案。6.7.3.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評(píng)估6.7.4.1測(cè)評(píng)指標(biāo)投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評(píng)估（第一級(jí)到第二級(jí)）。投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評(píng)估，評(píng)估通過(guò)后系統(tǒng)方可正式運(yùn)行（第三級(jí)到第四級(jí)）。6.7.4.2測(cè)評(píng)對(duì)象密碼應(yīng)用安全性評(píng)估報(bào)告、系統(tǒng)負(fù)責(zé)人。6.7.4.3測(cè)評(píng)實(shí)施對(duì)于第一級(jí)到第二級(jí)系統(tǒng)，核查信息系統(tǒng)投入運(yùn)行前，是否組織進(jìn)行密碼應(yīng)用安全性評(píng)估；核查是否具有系統(tǒng)投入運(yùn)行前編制的密碼應(yīng)用安全性評(píng)估報(bào)告。對(duì)于第三級(jí)到第四級(jí)系統(tǒng)，核查信息系統(tǒng)投入運(yùn)行前，是否組織進(jìn)行密碼應(yīng)用安全性評(píng)估；核查是否具有系統(tǒng)投入運(yùn)行前編制的密碼應(yīng)用安全性評(píng)估報(bào)告且系統(tǒng)通過(guò)評(píng)估。6.7.4.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上相應(yīng)等級(jí)的測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。定期開(kāi)展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí)6.7.5.1測(cè)評(píng)指標(biāo)在運(yùn)行過(guò)程中，嚴(yán)格執(zhí)行既定的密碼應(yīng)用安全管理制度，定期開(kāi)展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí)，并根據(jù)評(píng)估結(jié)果進(jìn)行整改（第三級(jí)到第四級(jí)）。6.7.5.2測(cè)評(píng)對(duì)象密碼應(yīng)用安全管理制度、密碼應(yīng)用安全性評(píng)估報(bào)告、攻防對(duì)抗演習(xí)報(bào)告、整改文檔。6.7.5.3測(cè)評(píng)實(shí)施核查信息系統(tǒng)投入運(yùn)行后，信息系統(tǒng)責(zé)任方是否嚴(yán)格執(zhí)行既定的密碼應(yīng)用安全管理制度，定期開(kāi)展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí)，并具有相應(yīng)的密碼應(yīng)用安全性評(píng)估報(bào)告及攻防對(duì)抗演習(xí)報(bào)告；核查是否根據(jù)評(píng)估結(jié)果制定整改方案，并進(jìn)行相應(yīng)整改。6.7.5.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。應(yīng)急處置應(yīng)急策略6.8.1.1測(cè)評(píng)指標(biāo)根據(jù)密碼產(chǎn)品提供的安全策略，由用戶自主處置密碼應(yīng)用安全事件（第一級(jí)）。制定密碼應(yīng)用應(yīng)急策略，做好應(yīng)急資源準(zhǔn)備，當(dāng)密碼應(yīng)用安全事件發(fā)生時(shí)，按照應(yīng)急處置措施結(jié)合實(shí)際情況及時(shí)處置（第二級(jí)）。制定密碼應(yīng)用應(yīng)急策略，做好應(yīng)急資源準(zhǔn)備，當(dāng)密碼應(yīng)用安全事件發(fā)生時(shí)，立即啟動(dòng)應(yīng)急處置措施，結(jié)合實(shí)際情況及時(shí)處置（第三級(jí)到第四級(jí)）。6.8.1.2測(cè)評(píng)對(duì)象密碼應(yīng)用應(yīng)急策略、應(yīng)急處置記錄類文檔。6.8.1.3測(cè)評(píng)實(shí)施對(duì)于第一級(jí)系統(tǒng)，核查用戶是否根據(jù)密碼產(chǎn)品提供的安全策略處置密碼應(yīng)用安全事件。對(duì)于第二級(jí)系統(tǒng)，核查是否根據(jù)密碼應(yīng)用安全事件等級(jí)制定了相應(yīng)的密碼應(yīng)用應(yīng)急策略并對(duì)應(yīng)急策略進(jìn)行評(píng)審，應(yīng)急策略中是否明確了密碼應(yīng)用安全事件發(fā)生時(shí)的應(yīng)急處理流程及其他管理措施，并遵照?qǐng)?zhí)行；若發(fā)生過(guò)密碼應(yīng)用安全事件，核查是否具有相應(yīng)的處置記錄。對(duì)于第三級(jí)到第四級(jí)系統(tǒng)，核查是否根據(jù)密碼應(yīng)用安全事件等級(jí)制定了相應(yīng)的密碼應(yīng)用應(yīng)急策略并對(duì)應(yīng)急策略進(jìn)行評(píng)審，應(yīng)急策略中是否明確了密碼應(yīng)用安全事件發(fā)生時(shí)的應(yīng)急處理流程及其他管理措施，并遵照?qǐng)?zhí)行；若發(fā)生過(guò)密碼應(yīng)用安全事件，核查是否立即啟動(dòng)應(yīng)急處置措施并具有相應(yīng)的處置記錄。6.8.1.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容均為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。事件處置6.8.2.1測(cè)評(píng)指標(biāo)事件發(fā)生后，及時(shí)向信息系統(tǒng)主管部門(mén)進(jìn)行報(bào)告（第三級(jí)）。事件發(fā)生后，及時(shí)向信息系統(tǒng)主管部門(mén)及歸屬的密碼管理部門(mén)進(jìn)行報(bào)告（第四級(jí)）。6.8.2.2測(cè)評(píng)對(duì)象密碼應(yīng)用應(yīng)急策略類文檔、安全事件報(bào)告。6.8.2.3測(cè)評(píng)實(shí)施對(duì)于第三級(jí)系統(tǒng)，核查密碼應(yīng)用安全事件發(fā)生后，是否及時(shí)向信息系統(tǒng)主管部門(mén)進(jìn)行報(bào)告。對(duì)于第四級(jí)系統(tǒng)，核查密碼應(yīng)用安全事件發(fā)生后，是否及時(shí)向信息系統(tǒng)主管部門(mén)及歸屬的密碼管理部門(mén)進(jìn)行報(bào)告。6.8.2.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上相應(yīng)等級(jí)的測(cè)評(píng)實(shí)施內(nèi)容為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。向有關(guān)主管部門(mén)上報(bào)處置情況6.8.3.1測(cè)評(píng)指標(biāo)事件處置完成后，及時(shí)向信息系統(tǒng)主管部門(mén)及歸屬的密碼管理部門(mén)報(bào)告事件發(fā)生情況及處置情況（第三級(jí)到第四級(jí)）。6.8.3.2測(cè)評(píng)對(duì)象密碼應(yīng)用應(yīng)急策略類文檔、安全事件發(fā)生情況及處置情況報(bào)告。6.8.3.3測(cè)評(píng)實(shí)施核查密碼應(yīng)用安全事件處置完成后，是否及時(shí)向信息系統(tǒng)主管部門(mén)及歸屬的密碼管理部門(mén)報(bào)告事件發(fā)生情況及處置情況，如事件處置完成后，向相關(guān)部門(mén)提交安全事件發(fā)生情況及處置情況報(bào)告。6.8.3.4結(jié)果判定針對(duì)單個(gè)測(cè)評(píng)對(duì)象，如果以上測(cè)評(píng)實(shí)施內(nèi)容為是，則該測(cè)評(píng)對(duì)象符合本單元的測(cè)評(píng)指標(biāo)要求；否則，不符合或部分符合本單元的測(cè)評(píng)指標(biāo)要求。針對(duì)本測(cè)評(píng)單元，對(duì)該單元涉及的所有測(cè)評(píng)對(duì)象的判定結(jié)果進(jìn)行匯總，如果判定結(jié)果均為符合，則本單元的測(cè)評(píng)結(jié)果為符合；如果判定結(jié)果均為不符合，則本單元的測(cè)評(píng)結(jié)果為不符合；否則，本單元的測(cè)評(píng)結(jié)果為部分符合。整體測(cè)評(píng)要求概述整體測(cè)評(píng)應(yīng)從單元間、層面間等方面進(jìn)行測(cè)評(píng)和綜合安全分析。整體測(cè)評(píng)包括單元間測(cè)評(píng)和層面間測(cè)評(píng)。單元間測(cè)評(píng)是指對(duì)同一技術(shù)層面或管理方面內(nèi)的兩個(gè)或者兩個(gè)以上不同測(cè)評(píng)單元間的關(guān)聯(lián)進(jìn)行測(cè)評(píng)分析，其目的是確定這些關(guān)聯(lián)對(duì)信息系統(tǒng)整體密碼應(yīng)用防護(hù)能力的影響。層面間測(cè)評(píng)是指對(duì)不同技術(shù)層面或管理方面之間的兩個(gè)或者兩個(gè)以上不同測(cè)評(píng)單元間的關(guān)聯(lián)進(jìn)行測(cè)評(píng)分析，其目的是確定這些關(guān)聯(lián)對(duì)信息系統(tǒng)整體密碼應(yīng)用防護(hù)能力的影響。單元間測(cè)評(píng)在單元測(cè)評(píng)完成后，應(yīng)對(duì)單元測(cè)評(píng)結(jié)果中存在的不符合項(xiàng)或部分符合項(xiàng)進(jìn)行單元間測(cè)評(píng)，重點(diǎn)分析信息系統(tǒng)中是否存在單元間的相互彌補(bǔ)作用。根據(jù)測(cè)評(píng)分析結(jié)果，綜合判定該測(cè)評(píng)單元所對(duì)應(yīng)的信息系統(tǒng)密碼應(yīng)用防護(hù)能力是否缺失，如果經(jīng)過(guò)綜合分析單元測(cè)評(píng)中的不符合項(xiàng)或部分符合項(xiàng)不造成信息系統(tǒng)整體密碼應(yīng)用防護(hù)能力的缺失，則對(duì)該測(cè)評(píng)單元的測(cè)評(píng)結(jié)果予以調(diào)整。層面間測(cè)評(píng)在單元測(cè)評(píng)完成后，應(yīng)對(duì)單元測(cè)評(píng)結(jié)果中存在的不符合項(xiàng)或部分符合項(xiàng)進(jìn)行層面間測(cè)評(píng)，重點(diǎn)分析信息系統(tǒng)中是否存在層面間的相互彌補(bǔ)作用。根據(jù)測(cè)評(píng)分析結(jié)果，綜合判定該測(cè)評(píng)單元所對(duì)應(yīng)的信息系統(tǒng)密碼應(yīng)用防護(hù)能力是否缺失，如果經(jīng)過(guò)綜合分析單元測(cè)評(píng)中的不符合項(xiàng)或部分符合項(xiàng)不造成信息系統(tǒng)整體密碼應(yīng)用防護(hù)能力的缺失，則對(duì)該測(cè)評(píng)單元的測(cè)評(píng)結(jié)果予以調(diào)整。風(fēng)險(xiǎn)分析和評(píng)價(jià)密碼應(yīng)用安全性評(píng)估報(bào)告中應(yīng)對(duì)整體測(cè)評(píng)之后單元測(cè)評(píng)結(jié)果中的不符合項(xiàng)或部分符合項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析和評(píng)價(jià)。采用風(fēng)險(xiǎn)分析的方法，針對(duì)單元測(cè)評(píng)結(jié)果中存在的不符合項(xiàng)或部分符合項(xiàng)，分析所產(chǎn)生的安全問(wèn)題被威脅利用的可能性，判斷信息系統(tǒng)密碼應(yīng)用在合規(guī)性、正確性和有效性方面的不符合所產(chǎn)生的安全問(wèn)題被威脅利用后對(duì)信息系統(tǒng)造成影響的程度，以及受到威脅利用的資產(chǎn)自身價(jià)值，綜合評(píng)價(jià)這些不符合項(xiàng)或部分符合項(xiàng)對(duì)信息系統(tǒng)造成的安全風(fēng)險(xiǎn)。對(duì)于高風(fēng)險(xiǎn)的判定依據(jù)，可參考其他相關(guān)標(biāo)準(zhǔn)或文件，對(duì)未滿足密碼應(yīng)用的正確性、有效性，或未使用經(jīng)國(guó)家密碼管理部門(mén)核準(zhǔn)的密碼技術(shù)且存在明顯安全風(fēng)險(xiǎn)等措施，應(yīng)結(jié)合具體業(yè)務(wù)場(chǎng)景做出高風(fēng)險(xiǎn)判定。評(píng)估結(jié)論密碼應(yīng)用安全性評(píng)估報(bào)告應(yīng)給出信息系統(tǒng)的評(píng)估結(jié)論，確認(rèn)信息系統(tǒng)達(dá)到相應(yīng)等級(jí)保護(hù)要求的程度。應(yīng)結(jié)合整體測(cè)評(píng)和對(duì)單元測(cè)評(píng)結(jié)果的風(fēng)險(xiǎn)分析給出評(píng)估結(jié)論。符合：信息系統(tǒng)中未發(fā)現(xiàn)安全問(wèn)題，測(cè)評(píng)結(jié)果中所有單元測(cè)評(píng)結(jié)果中部分符合和不符合項(xiàng)的統(tǒng)計(jì)結(jié)果全為0，綜合得分為100分。基本符合：信息系統(tǒng)中存在安全問(wèn)題，部分符合和不符合項(xiàng)的統(tǒng)計(jì)結(jié)果不全為0，但存在的安全問(wèn)題不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)，且綜合得分不低于閾值。不符合：信息系統(tǒng)中存在安全問(wèn)題，部分符合項(xiàng)和不符合項(xiàng)的統(tǒng)計(jì)結(jié)果不全為0，而且存在的安全問(wèn)題會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)，或綜合得分低于閾值。注：綜合得分由各測(cè)評(píng)單元分?jǐn)?shù)經(jīng)整體測(cè)評(píng)修正后累加得到，可參考相關(guān)標(biāo)準(zhǔn)或文件了解詳細(xì)得分規(guī)則。（資料性）密鑰生存周期管理檢查要點(diǎn)A.1概述密鑰管理對(duì)于保證密鑰全生存周期的安全性是至關(guān)重要的，可以保證密鑰（除公鑰外）不被非授權(quán)的訪問(wèn)、使用、泄露、修改和替換，可以保證公鑰不被非授權(quán)的修改和替換。信息系統(tǒng)的應(yīng)用與數(shù)據(jù)層面的密鑰體系由業(yè)務(wù)系統(tǒng)根據(jù)密碼應(yīng)用需求在密碼應(yīng)用方案中明確。密鑰管理包括密鑰的產(chǎn)生、分發(fā)、存儲(chǔ)、使用、更新、歸檔、撤銷、備份、恢復(fù)和銷毀等環(huán)節(jié)。以下給出各個(gè)環(huán)節(jié)的檢查要點(diǎn)建議，檢查結(jié)果可用于密碼應(yīng)用測(cè)評(píng)結(jié)果評(píng)判參考。A.2密鑰產(chǎn)生檢查目的密鑰產(chǎn)生所使用的隨機(jī)數(shù)發(fā)生器是否具有商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)，密鑰協(xié)商算法是否為經(jīng)國(guó)家密碼管理部門(mén)核準(zhǔn)的。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)確認(rèn)密鑰是否在經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格的密碼產(chǎn)品中產(chǎn)生；確認(rèn)密鑰協(xié)商算法是否符合法律、法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；核實(shí)密鑰產(chǎn)生功能的正確性和有效性，如隨機(jī)數(shù)發(fā)生器的運(yùn)行狀態(tài)、所產(chǎn)生密鑰的關(guān)聯(lián)信息，密鑰關(guān)聯(lián)信息包括密鑰種類、長(zhǎng)度、擁有者、使用起始時(shí)間、使用終止時(shí)間等。A.3密鑰分發(fā)檢查目的密鑰分發(fā)過(guò)程是否保證了密鑰的機(jī)密性、完整性以及分發(fā)者、接收者身份的真實(shí)性等。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)確認(rèn)系統(tǒng)內(nèi)部采用何種密鑰分發(fā)方式—離線分發(fā)方式、在線分發(fā)方式、混合分發(fā)方式；確認(rèn)密鑰傳遞過(guò)程中信息系統(tǒng)使用了哪些密碼技術(shù)對(duì)密鑰進(jìn)行處理以保護(hù)其機(jī)密性、完整性與真實(shí)性，并核實(shí)保護(hù)措施使用的正確性和有效性。A.4密鑰存儲(chǔ)檢查目的密鑰（除公鑰）存儲(chǔ)過(guò)程是否保證了不被非授權(quán)的訪問(wèn)或篡改，公鑰存儲(chǔ)過(guò)程是否保證了不被非授權(quán)的篡改。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及密鑰存儲(chǔ)涉及的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)確認(rèn)系統(tǒng)內(nèi)部所有密鑰（除公鑰）是否均以密文形式進(jìn)行存儲(chǔ)，或者位于受保護(hù)的安全區(qū)域；確認(rèn)密鑰（除公鑰）存儲(chǔ)過(guò)程中信息系統(tǒng)使用了哪些密碼技術(shù)對(duì)密鑰進(jìn)行處理以保護(hù)其機(jī)密性（除公鑰）、完整性，并核實(shí)保護(hù)措施使用的正確性和有效性；確認(rèn)公鑰存儲(chǔ)過(guò)程中信息系統(tǒng)使用了哪些密碼技術(shù)對(duì)公鑰進(jìn)行處理以保護(hù)其完整性，并核實(shí)保護(hù)措施使用的正確性和有效性。A.5密鑰使用檢查目的所有密鑰是否都有明確的用途且各類密鑰是否均被正確地使用、管理。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)確認(rèn)信息系統(tǒng)內(nèi)部是否具有嚴(yán)格的密鑰使用管理機(jī)制，以及所有密鑰是否有明確的用途并按用途被正確使用；確認(rèn)信息系統(tǒng)是否具有公鑰認(rèn)證機(jī)制，以鑒別公鑰的真實(shí)性與完整性，公鑰密碼算法是否符合法律、法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；確認(rèn)信息系統(tǒng)采用了何種安全措施來(lái)防止密鑰泄露或替換，是否使用了密碼算法以及算法是否符合相關(guān)法規(guī)和標(biāo)準(zhǔn)的要求，并核實(shí)當(dāng)發(fā)生密鑰泄漏時(shí)，系統(tǒng)是否具備應(yīng)急處理和響應(yīng)措施；確認(rèn)信息系統(tǒng)是否定期更換密鑰，并核實(shí)密鑰更換處理流程中是否采取有效措施保證密鑰更換時(shí)的安全性。A.6密鑰更新檢查目的密鑰是否會(huì)根據(jù)相應(yīng)的更新策略進(jìn)行更新。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)確認(rèn)信息系統(tǒng)內(nèi)部是否具有密鑰的更新策略，并核實(shí)當(dāng)密鑰超過(guò)使用期限、已泄露或存在泄露風(fēng)險(xiǎn)時(shí)，是否會(huì)根據(jù)相應(yīng)的更新策略進(jìn)行密鑰更新。A.7密鑰歸檔檢查目的密鑰歸檔過(guò)程是否保證了密鑰的安全性和正確性，并生成了審計(jì)信息。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)確認(rèn)信息系統(tǒng)內(nèi)部密鑰歸檔時(shí)是否采取有效的安全措施，以保證歸檔密鑰的安全性和正確性；核實(shí)歸檔密鑰是否僅用于解密該密鑰加密的歷史信息或驗(yàn)證該密鑰簽名的歷史信息；確認(rèn)密鑰歸檔的審計(jì)信息是否包括歸檔的密鑰、歸檔的時(shí)間等信息。A.8密鑰撤銷檢查目的公鑰證書(shū)、對(duì)稱密鑰是否具備撤銷機(jī)制。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)若信息系統(tǒng)內(nèi)部使用公鑰證書(shū)、對(duì)稱密鑰，則確認(rèn)是否有公鑰證書(shū)、對(duì)稱密鑰撤銷機(jī)制和撤銷機(jī)制的觸發(fā)條件，并確認(rèn)是否有效執(zhí)行；核實(shí)撤銷后的密鑰是否已不具備使用效力。A.9密鑰備份檢查目的密鑰備份過(guò)程是否保證了密鑰的機(jī)密性和完整性，并生成了審計(jì)信息。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)若信息系統(tǒng)內(nèi)部存在需要?dú)w檔的密鑰，則確認(rèn)是否具有密鑰備份機(jī)制并有效執(zhí)行；確認(rèn)密鑰備份過(guò)程中系統(tǒng)使用了哪些密碼技術(shù)對(duì)密鑰進(jìn)行處理以保護(hù)其機(jī)密性、完整性；確認(rèn)密鑰備份的審計(jì)信息是否包括備份的主體、時(shí)間等信息。A.10密鑰恢復(fù)檢查目的密鑰是否具備恢復(fù)機(jī)制，并生成審計(jì)信息。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)確認(rèn)系統(tǒng)內(nèi)部是否具有密鑰的恢復(fù)機(jī)制并有效執(zhí)行；確認(rèn)密鑰恢復(fù)的審計(jì)信息是否包括恢復(fù)的主體、時(shí)間等信息。A.11密鑰銷毀檢查目的密鑰是否具備銷毀機(jī)制，銷毀過(guò)程是否具備不可逆性。檢查對(duì)象密鑰、密鑰管理制度及策略類文檔，以及信息系統(tǒng)中的密碼產(chǎn)品、密碼服務(wù)以及密碼算法實(shí)現(xiàn)和密碼技術(shù)實(shí)現(xiàn)。檢查要點(diǎn)確認(rèn)系統(tǒng)內(nèi)部是否具有密鑰的銷毀機(jī)制并有效執(zhí)行；核實(shí)密鑰銷毀過(guò)程和銷毀方式，確認(rèn)是否密鑰銷毀后無(wú)法被恢復(fù)。（資料性）表B.1典型密碼產(chǎn)品應(yīng)用測(cè)評(píng)技術(shù)產(chǎn)品類型測(cè)評(píng)實(shí)施預(yù)期結(jié)果智能IC卡/智能密碼鑰匙進(jìn)行錯(cuò)誤嘗試試驗(yàn)，驗(yàn)證在智能IC卡或智能密碼鑰匙未使用或錯(cuò)誤使用（如使用他人的介質(zhì)）時(shí)，相關(guān)密碼應(yīng)用過(guò)程（如鑒別）不能正常工作；條件允許情況下，在模擬的主機(jī)或抽選的主機(jī)上安裝監(jiān)控軟件（如BusHound），用于對(duì)智能IC卡、智能密碼鑰匙的APDU指令進(jìn)行抓取和分析，確認(rèn)調(diào)用指令格式和內(nèi)容符合預(yù)期（如口令和密鑰是加密傳輸?shù)模?；如果智能IC卡或智能密碼鑰匙存儲(chǔ)有數(shù)字證書(shū)，密評(píng)人員可以將數(shù)字證書(shū)導(dǎo)出后，對(duì)證書(shū)合規(guī)性進(jìn)行檢測(cè)，具體檢測(cè)內(nèi)容見(jiàn)對(duì)證書(shū)認(rèn)證系統(tǒng)應(yīng)用的測(cè)評(píng)；驗(yàn)證智能密碼鑰匙的口令長(zhǎng)度和