信息安全等级保护商用密码系统安全测评流程详解
信息安全等级保护商用密码系统安全测评流程图测评申请
现场检测
报告与结论
一、检测依据
《信息安全等级保护商用密码管理办法》
《信息安全等级保护商用密码技术实施要求》
《信息系统安全等级保护基本要求》
二、检测范围
信息安全等级为三级以上(含三级)信息系统中的商用密码系统。
三、检测程序
上海市信息安全测评认证中心(以下简称测评中心)的商用密码系统安全等级保护测评工作拟分以下三个阶段进行:
1.测评申请阶段
1)填写文档
申请单位可到上海市信息安全测评认证中心网站下载《信息安全等级保护商用密码系统安全测评申请书》,并填写相关信息。
2)提交申请
申请单位:
l须按照申报表的要求,据实填写(用Word录入排版)。
l提交申报表纸质版1份(加盖单位公章)、电子版本1份,并送交测评中心。
l须同时提交上海市密码管理局有关收到“信息安全等级保护商用密码产品备案表”的确认回执单。
3)受理申请
测评中心对申请单位提交的有关材料进行审核后,对符合测评条件的予以受理,并协商有关测评的费用,发放测评受理单或签订相关委托测评协议。
2.现场检测阶段
测评中心组成检测小组对现场商用密码信息系统进行调研,明确商用密码产
品实际使用情况和系统相关信息。
测评中心按照信息安全等级保护商用密码技术实施要求等技术规范要求以及实验室质量体系管理的要求,和申请单位及相关集成单位协商制订测试方案、测试计划,并实施测试任务。
3.报告与结论阶段
测评中心检测小组对现场采集的检测结果数据进行分析,形成有关商密系统的安全测评意见,并告知申请单位。
测评中心最后向申请单位出具安全测评报告,并将有关测评情况和安全测评结论报送上海市密码管理局。
