根據(ju)《國(guo)(guo)家(jia)政務信息化項目建設管理辦法》（以(yi)下簡稱(cheng)《辦法》）（國(guo)(guo)辦發[2019]57號）密(mi)碼(ma)(ma)(ma)(ma)應用與(yu)安全性(xing)評估(gu)(gu)要(yao)求，依據(ju)《中(zhong)(zhong)華人民(min)共(gong)和國(guo)(guo)密(mi)碼(ma)(ma)(ma)(ma)法》及商用密(mi)碼(ma)(ma)(ma)(ma)管理規定，中(zhong)(zhong)國(guo)(guo)密(mi)碼(ma)(ma)(ma)(ma)學會密(mi)評聯委(wei)會組織編(bian)制的(de)《政務信息系統(tong)(tong)密(mi)碼(ma)(ma)(ma)(ma)應用與(yu)安全性(xing)評估(gu)(gu)工(gong)作(zuo)指(zhi)(zhi)南》（以(yi)下簡稱(cheng)《工(gong)作(zuo)指(zhi)(zhi)南》）（2020版(ban)）在(zai)日(ri)前發布(bu)，隨后，在(zai)《國(guo)(guo)家(jia)密(mi)碼(ma)(ma)(ma)(ma)管理局關于請進一(yi)步加強國(guo)(guo)家(jia)政務信息系統(tong)(tong)密(mi)碼(ma)(ma)(ma)(ma)應用與(yu)安全性(xing)評估(gu)(gu)工(gong)作(zuo)的(de)函》中(zhong)(zhong)，國(guo)(guo)家(jia)密(mi)碼(ma)(ma)(ma)(ma)管理局函告相關單位(wei)，有關密(mi)碼(ma)(ma)(ma)(ma)應用與(yu)安全性(xing)評估(gu)(gu)工(gong)作(zuo)可參考《指(zhi)(zhi)南》。

本期密碼學堂(tang)，我們詳細介紹《指南》。

《政務信息系統密碼應用與安全性評(ping)估工作指南》

公開(kai)發布(bu)

一(yi)、基本情況

《指南(nan)》由中國密(mi)碼(ma)學(xue)會(hui)密(mi)評(ping)聯委會(hui)組織相關(guan)專家編制，可(ke)用(yong)于(yu)指導非(fei)涉密(mi)的國家政(zheng)(zheng)(zheng)務(wu)信(xin)(xin)息系統(tong)建(jian)設單位(wei)和(he)使用(yong)單位(wei)規范開(kai)展(zhan)商用(yong)密(mi)碼(ma)應(ying)用(yong)與安全性(xing)(xing)評(ping)估工(gong)作，也(ye)可(ke)供(gong)政(zheng)(zheng)(zheng)務(wu)信(xin)(xin)息系統(tong)集(ji)成(cheng)單位(wei)和(he)商用(yong)密(mi)碼(ma)應(ying)用(yong)安全性(xing)(xing)評(ping)估機構參考。各級地方政(zheng)(zheng)(zheng)務(wu)信(xin)(xin)息化項目建(jian)設單位(wei)和(he)使用(yong)單位(wei)也(ye)可(ke)參照《指南(nan)》開(kai)展(zhan)相關(guan)工(gong)作。

正文部分分為三章，第一章為政務信息系統密碼應用與安全性評估實施過程指南，依據《國家政務信息化項目建設管理辦法》和《商用密碼應用安全性評估管理辦法（試行）》，給出了政務信息系統規劃、建設、運行階段，項目建設單位和使用單位分別應當開展的密碼應用與安全性評估相關工作。第二章為政務信息系統密碼應用措施指南，主要依據GM/T 0054《信息系統密碼應用基本要求》（以下簡稱《基本要求》），介紹了密碼在政務信息系統中發揮的主要功能，并給出了密碼應用措施方面的建議，可供項目建設單位結合自身實際進行選擇和調整。第三章為政務信息系統密碼應用與安全性評估質量保障指南，給出了項目建設單位和使用單位、系統集成單位、密評機構在相關活動中的質量管理建議。此外，《指南》附錄1提供了密碼應用方案模板，可供項目建設單位在設計編制密碼應用方案時參考，附錄2提供了已發布的密碼國家標準和密碼行業標準目錄，附錄3選取政務信息系統中常見的電子公文處理系統，選擇最小業務場景，提煉基本密碼應用需求，設計了一個精簡的密碼應用方案示例，可為相關單位編寫密碼應用方案提供思路參考。

二、政務信息系統密碼應(ying)用與安全性評(ping)估實施(shi)過程指南

（一）過程概(gai)述

《辦法》第十五條要(yao)(yao)求(qiu)“項目(mu)建設(she)單位(wei)應當落(luo)實國家密(mi)碼管理(li)有關法律法規和標準規范的(de)要(yao)(yao)求(qiu)，同步(bu)規劃、同步(bu)建設(she)、同步(bu)運(yun)行(xing)(xing)密(mi)碼保障系統并定期進(jin)行(xing)(xing)評(ping)估(gu)”，即政務信息系統中(zhong)的(de)密(mi)碼保障系統應做到“三同步(bu)一評(ping)估(gu)”，實施過程(cheng)如下圖：

《辦法》所指項目(mu)建(jian)設單位(wei)、使用(yong)單位(wei)、審批部門(men)、主管部門(men)等承擔項目(mu)規劃、審批、建(jian)設和資金管理(li)(li)等職(zhi)能部門(men)中的密(mi)碼(ma)(ma)(ma)(ma)管理(li)(li)機(ji)構(gou)，應(ying)按職(zhi)責做好相(xiang)(xiang)(xiang)關(guan)項目(mu)密(mi)碼(ma)(ma)(ma)(ma)應(ying)用(yong)與安全(quan)性(xing)評估工作(zuo)的指導、評價、督(du)促，對密(mi)碼(ma)(ma)(ma)(ma)應(ying)用(yong)方案、密(mi)碼(ma)(ma)(ma)(ma)應(ying)用(yong)安全(quan)性(xing)評估報(bao)告及(ji)(ji)相(xiang)(xiang)(xiang)關(guan)工作(zuo)質量(liang)進行把關(guan)，對密(mi)碼(ma)(ma)(ma)(ma)應(ying)用(yong)、密(mi)碼(ma)(ma)(ma)(ma)保障系(xi)(xi)(xi)統(tong)建(jian)設、密(mi)評實施、整改時(shi)限等提出要(yao)求，向相(xiang)(xiang)(xiang)關(guan)主責部門(men)提出工作(zuo)建(jian)議，有(you)關(guan)情況及(ji)(ji)時(shi)向國(guo)家(jia)密(mi)碼(ma)(ma)(ma)(ma)管理(li)(li)部門(men)報(bao)告。國(guo)家(jia)密(mi)碼(ma)(ma)(ma)(ma)管理(li)(li)部門(men)將建(jian)立完善(shan)國(guo)家(jia)政務(wu)信(xin)(xin)息(xi)(xi)系(xi)(xi)(xi)統(tong)密(mi)碼(ma)(ma)(ma)(ma)應(ying)用(yong)信(xin)(xin)息(xi)(xi)庫，對國(guo)家(jia)政務(wu)信(xin)(xin)息(xi)(xi)系(xi)(xi)(xi)統(tong)密(mi)碼(ma)(ma)(ma)(ma)應(ying)用(yong)及(ji)(ji)其密(mi)評情況實施臺賬管理(li)(li)。

（二）規劃階段(duan)

在政務信息系統規劃階段，項目建設單位分析系統現狀，對系統面臨的安全風險和風險控制需求進行分析，明確密碼應用需求，跟進系統的網絡安全保護等級，依據《基本要求》等相關標準，參照密碼應用方案模板，編制密碼應用方案，從《商用密碼應用安全性評估試點機構目錄》（可通過訪問“國家密碼管理局官方網站-通知公告-國家密碼管理局第40號公告”獲取）中選擇商用密碼應用安全性評估機構（以下簡稱“密評機構”）進行密評。密碼應用方案通過密評是項目立項的必要條件。

（三）建設(she)階段

在政(zheng)務信息系統(tong)(tong)建(jian)(jian)設(she)(she)階(jie)段，系統(tong)(tong)集成單位在項(xiang)(xiang)目(mu)建(jian)(jian)設(she)(she)單位的(de)(de)(de)明確要求(qiu)下按照通(tong)過密(mi)(mi)(mi)評的(de)(de)(de)密(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)應(ying)(ying)用方(fang)案(an)建(jian)(jian)設(she)(she)密(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)保(bao)障系統(tong)(tong)，確保(bao)系統(tong)(tong)密(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)應(ying)(ying)用符合(he)國家密(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)管(guan)理(li)部門(men)要求(qiu)。建(jian)(jian)設(she)(she)階(jie)段涉及密(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)應(ying)(ying)用方(fang)案(an)調整優化(hua)的(de)(de)(de)，應(ying)(ying)委(wei)(wei)托密(mi)(mi)(mi)評機(ji)構再次對(dui)調整后的(de)(de)(de)密(mi)(mi)(mi)碼(ma)(ma)(ma)(ma)(ma)應(ying)(ying)用方(fang)案(an)進行確認。系統(tong)(tong)建(jian)(jian)設(she)(she)完成后，項(xiang)(xiang)目(mu)建(jian)(jian)設(she)(she)單位委(wei)(wei)托密(mi)(mi)(mi)評機(ji)構對(dui)系統(tong)(tong)開展密(mi)(mi)(mi)評。系統(tong)(tong)通(tong)過密(mi)(mi)(mi)評是項(xiang)(xiang)目(mu)驗收的(de)(de)(de)必要條件。

未(wei)通(tong)過(guo)(guo)密評(ping)的(de)政務(wu)信息系統(tong)，項目建(jian)設單(dan)位針對評(ping)估(gu)中(zhong)發現(xian)的(de)安全問題及時(shi)整(zheng)改，整(zheng)改完(wan)成(cheng)后可請密評(ping)機構進行(xing)復評(ping)，更新評(ping)估(gu)結果，仍未(wei)通(tong)過(guo)(guo)的(de)，不(bu)得通(tong)過(guo)(guo)項目驗收。

（四）運(yun)行階段(duan)

在政務信(xin)息系(xi)統運行階段(duan)，項目使用單(dan)位(wei)定期委托密(mi)評(ping)機構對系(xi)統開展密(mi)評(ping)，網絡(luo)安全(quan)保護等級第三級及以(yi)上的(de)政務信(xin)息系(xi)統，每年至少密(mi)評(ping)一次，可與關鍵(jian)信(xin)息基礎設施安全(quan)檢測(ce)評(ping)估(gu)、網絡(luo)安全(quan)等級測(ce)評(ping)等工作統籌(chou)考慮、協調(diao)開展。

政務信息(xi)系(xi)(xi)統(tong)運(yun)行期(qi)間(jian)的(de)(de)密(mi)(mi)(mi)碼應(ying)用(yong)(yong)安全(quan)(quan)應(ying)遵(zun)循持續改(gai)(gai)進(jin)的(de)(de)原則(ze)，根據安全(quan)(quan)需求(qiu)、系(xi)(xi)統(tong)脆弱性、風險威脅程度、系(xi)(xi)統(tong)環境(jing)變化(hua)(hua)以及對系(xi)(xi)統(tong)安全(quan)(quan)認識的(de)(de)深化(hua)(hua)等，及時(shi)(shi)檢查、總結、調整現有的(de)(de)密(mi)(mi)(mi)碼應(ying)用(yong)(yong)措施(shi)，確認系(xi)(xi)統(tong)各項密(mi)(mi)(mi)碼技術和管(guan)理措施(shi)是否落實到位(wei)(wei)。弱系(xi)(xi)統(tong)約束條件發生重要變化(hua)(hua)，必要時(shi)(shi)，項目(mu)使用(yong)(yong)單位(wei)(wei)需修訂(ding)密(mi)(mi)(mi)碼應(ying)用(yong)(yong)方案，對系(xi)(xi)統(tong)進(jin)行升級改(gai)(gai)造(zao)。運(yun)行后的(de)(de)政務信息(xi)系(xi)(xi)統(tong)密(mi)(mi)(mi)評未(wei)通(tong)過的(de)(de)，項目(mu)使用(yong)(yong)單位(wei)(wei)按要求(qiu)對系(xi)(xi)統(tong)進(jin)行整改(gai)(gai)后再次開展密(mi)(mi)(mi)評，整改(gai)(gai)期(qi)間(jian)項目(mu)使用(yong)(yong)單位(wei)(wei)應(ying)保證系(xi)(xi)統(tong)的(de)(de)安全(quan)(quan)性。

三、政務信息系統密碼(ma)應用措施指南(nan)

依據《基(ji)本要求》，結(jie)合當前密(mi)碼(ma)(ma)技(ji)術(shu)、產品(pin)和服務(wu)的(de)(de)(de)實際(ji)情況，給(gei)出了針對政務(wu)信息(xi)系統(tong)密(mi)碼(ma)(ma)應用的(de)(de)(de)措(cuo)施(shi)建(jian)議。項目(mu)建(jian)設單(dan)位也可結(jie)合實際(ji)，自主選(xuan)擇適合的(de)(de)(de)密(mi)碼(ma)(ma)技(ji)術(shu)、產品(pin)和服務(wu)，以(yi)滿足(zu)相關密(mi)碼(ma)(ma)應用要求。

總體上，項目(mu)建(jian)設單位(wei)需(xu)從(cong)物理(li)和(he)環(huan)境安(an)全、網絡(luo)和(he)通信(xin)安(an)全、設備和(he)計(ji)算(suan)安(an)全、應用(yong)和(he)數據安(an)全等四個層面(mian)采用(yong)密碼(ma)技術(shu)措(cuo)施，建(jian)立(li)安(an)全的(de)密鑰管(guan)理(li)方案，并采取有(you)效(xiao)的(de)安(an)全管(guan)理(li)措(cuo)施，對(dui)政(zheng)(zheng)務(wu)信(xin)息系(xi)統(tong)進行保護。政(zheng)(zheng)務(wu)信(xin)息系(xi)統(tong)需(xu)使用(yong)經檢測認證合格的(de)商(shang)用(yong)密碼(ma)產品(pin)或服(fu)務(wu)，使用(yong)的(de)商(shang)用(yong)密碼(ma)算(suan)法、技術(shu)應用(yong)遵循(xun)密碼(ma)相關國(guo)家(jia)標準和(he)行業標準，沒有(you)標準可(ke)遵循(xun)時刻提請國(guo)家(jia)密碼(ma)管(guan)理(li)部門組織對(dui)相關算(suan)法、技術(shu)進行安(an)全性審(shen)查。政(zheng)(zheng)務(wu)信(xin)息系(xi)統(tong)采用(yong)電子認證服(fu)務(wu)的(de)，項目(mu)建(jian)設單位(wei)需(xu)選(xuan)擇(ze)具有(you)電子政(zheng)(zheng)務(wu)電子認證服(fu)務(wu)資質(zhi)的(de)機(ji)(ji)構（機(ji)(ji)構目(mu)錄可(ke)通過訪問“國(guo)家(jia)密碼(ma)管(guan)理(li)局(ju)官方網站-在(zai)線服(fu)務(wu)-行政(zheng)(zheng)審(shen)批結果查詢”獲取）。

物理(li)和(he)環境安(an)全(quan)、網絡(luo)和(he)通信安(an)全(quan)、設(she)備和(he)計算(suan)安(an)全(quan)、應用和(he)數(shu)據(ju)安(an)全(quan)及密(mi)鑰管(guan)理(li)和(he)安(an)全(quan)管(guan)理(li)方(fang)面的具體措(cuo)施，可參見《指南》正文（點擊關(guan)注本(ben)公眾號，后臺(tai)回(hui)復(fu)“pgzn”，即可下載《政務信息系統(tong)密(mi)碼應用與安(an)全(quan)性評(ping)估工作指南（2020版）》完整版pdf資料。）

四(si)、政務信息系統密碼應(ying)用與安全(quan)性評估(gu)質(zhi)量保障指南

針(zhen)對國(guo)家政務信(xin)息系(xi)統建(jian)設(she)、使用和集成單位(wei)等(deng)密(mi)碼應用與(yu)安(an)全性(xing)評(ping)(ping)估(gu)責任單位(wei)，開展密(mi)碼應用方案(an)編(bian)制、密(mi)碼保障系(xi)統建(jian)設(she)等(deng)活動提出(chu)了質量管理建(jian)議，同時提出(chu)了密(mi)評(ping)(ping)機構實施密(mi)碼應用安(an)全性(xing)評(ping)(ping)估(gu)的規范(fan)性(xing)要求。

（一）項目(mu)建(jian)設單位(wei)和使用(yong)單位(wei)

項(xiang)目建(jian)設(she)單位需按照《指南》要(yao)求，在政(zheng)務信(xin)息系(xi)(xi)統(tong)(tong)(tong)(tong)規劃階段(duan)(duan)，跟(gen)進系(xi)(xi)統(tong)(tong)(tong)(tong)網(wang)絡安全(quan)保(bao)護等級，參照密(mi)(mi)(mi)碼應(ying)用方(fang)案模板，編制政(zheng)務信(xin)息系(xi)(xi)統(tong)(tong)(tong)(tong)密(mi)(mi)(mi)碼應(ying)用方(fang)案，并委托(tuo)密(mi)(mi)(mi)評(ping)(ping)(ping)(ping)機構(gou)(gou)對密(mi)(mi)(mi)碼應(ying)用方(fang)案進行密(mi)(mi)(mi)評(ping)(ping)(ping)(ping)。在系(xi)(xi)統(tong)(tong)(tong)(tong)建(jian)設(she)階段(duan)(duan)，項(xiang)目建(jian)設(she)單位應(ying)要(yao)求并監(jian)督系(xi)(xi)統(tong)(tong)(tong)(tong)集成單位按照通過密(mi)(mi)(mi)評(ping)(ping)(ping)(ping)的(de)密(mi)(mi)(mi)碼應(ying)用方(fang)案建(jian)設(she)密(mi)(mi)(mi)碼保(bao)障系(xi)(xi)統(tong)(tong)(tong)(tong)，并在建(jian)設(she)完成后，委托(tuo)密(mi)(mi)(mi)評(ping)(ping)(ping)(ping)機構(gou)(gou)對系(xi)(xi)統(tong)(tong)(tong)(tong)開展密(mi)(mi)(mi)評(ping)(ping)(ping)(ping)。政(zheng)務信(xin)息系(xi)(xi)統(tong)(tong)(tong)(tong)投入運行后，項(xiang)目使用單位應(ying)委托(tuo)密(mi)(mi)(mi)評(ping)(ping)(ping)(ping)機構(gou)(gou)定期對系(xi)(xi)統(tong)(tong)(tong)(tong)進行密(mi)(mi)(mi)評(ping)(ping)(ping)(ping)。

編制政務信息系統密(mi)碼(ma)應用(yong)方(fang)案應遵循(xun)總體性(xing)、完備性(xing)、適用(yong)性(xing)等原(yuan)則。

（二）系統集成單(dan)位(wei)

系統集成(cheng)單位應嚴格(ge)按照通過密評的密碼應用方案開(kai)展(zhan)工程實施(shi)、建(jian)設(she)密碼保障(zhang)系統。

系(xi)(xi)統(tong)集成單位(wei)(wei)需(xu)做好系(xi)(xi)統(tong)建(jian)設(she)過(guo)程(cheng)中的(de)(de)質量(liang)控制(zhi)，明(ming)確系(xi)(xi)統(tong)建(jian)設(she)實(shi)(shi)施(shi)(shi)(shi)(shi)的(de)(de)組織架構(gou)(gou)、任(ren)務(wu)分工(gong)及(ji)(ji)人員安(an)排，明(ming)確責任(ren)機(ji)構(gou)(gou)和責任(ren)人。跟進密碼應用(yong)方案中的(de)(de)實(shi)(shi)施(shi)(shi)(shi)(shi)保(bao)障方案，明(ming)確密碼保(bao)障系(xi)(xi)統(tong)建(jian)設(she)實(shi)(shi)施(shi)(shi)(shi)(shi)對象(xiang)的(de)(de)邊界及(ji)(ji)密碼應用(yong)范圍、任(ren)務(wu)要求，分析(xi)系(xi)(xi)統(tong)建(jian)設(she)階段(duan)的(de)(de)重難點(dian)問題，提(ti)出建(jian)設(she)階段(duan)可(ke)能存在(zai)的(de)(de)風險點(dian)及(ji)(ji)應對措施(shi)(shi)(shi)(shi)。系(xi)(xi)統(tong)集成單位(wei)(wei)需(xu)制(zhi)定(ding)實(shi)(shi)施(shi)(shi)(shi)(shi)計劃(hua)，包(bao)含實(shi)(shi)施(shi)(shi)(shi)(shi)路線圖(tu)、進度計劃(hua)、重要節點(dian)等，按照計劃(hua)確定(ding)實(shi)(shi)施(shi)(shi)(shi)(shi)步驟、分階段(duan)描述任(ren)務(wu)分工(gong)、實(shi)(shi)施(shi)(shi)(shi)(shi)主(zhu)體、階段(duan)交付(fu)物(wu)等，并提(ti)供(gong)保(bao)障措施(shi)(shi)(shi)(shi)，包(bao)含系(xi)(xi)統(tong)建(jian)設(she)階段(duan)的(de)(de)組織保(bao)障、人員保(bao)障、經費保(bao)障、質量(liang)保(bao)障、監督檢查等措施(shi)(shi)(shi)(shi)。

（三）密評機構

密(mi)評(ping)(ping)機(ji)構負(fu)責對(dui)政務(wu)信(xin)息系統(tong)(tong)的密(mi)碼應用方案(an)進(jin)行密(mi)評(ping)(ping)，并(bing)對(dui)政務(wu)信(xin)息系統(tong)(tong)開展密(mi)評(ping)(ping)。

密評(ping)機構對政(zheng)(zheng)務信(xin)息系(xi)統的密碼應(ying)用(yong)(yong)(yong)(yong)方(fang)(fang)案(an)進行密評(ping)時，需(xu)依據(ju)《基本要求(qiu)(qiu)》等標(biao)準要求(qiu)(qiu)，分析密碼應(ying)用(yong)(yong)(yong)(yong)方(fang)(fang)案(an)是否(fou)(fou)對政(zheng)(zheng)務信(xin)息系(xi)統中(zhong)(zhong)需(xu)要保護的資產(chan)、數據(ju)提供了體(ti)系(xi)化、完備、適(shi)用(yong)(yong)(yong)(yong)的密碼保障措(cuo)施。若政(zheng)(zheng)務信(xin)息系(xi)統密碼應(ying)用(yong)(yong)(yong)(yong)方(fang)(fang)案(an)中(zhong)(zhong)存(cun)(cun)在(zai)不適(shi)用(yong)(yong)(yong)(yong)指標(biao)，需(xu)對不適(shi)用(yong)(yong)(yong)(yong)指標(biao)及(ji)其(qi)論(lun)證(zheng)材料進行評(ping)估，審核不適(shi)用(yong)(yong)(yong)(yong)的具體(ti)原因的合(he)理(li)性，并審核是否(fou)(fou)存(cun)(cun)在(zai)可(ke)滿足安全(quan)要求(qiu)(qiu)并達到等效控(kong)(kong)制的其(qi)他替代(dai)性風險(xian)控(kong)(kong)制措(cuo)施。

密(mi)評(ping)(ping)(ping)(ping)機構(gou)對政務信息系(xi)統開(kai)展密(mi)評(ping)(ping)(ping)(ping)時(shi)，需依據(ju)(ju)《基本要求(qiu)(qiu)》《商(shang)(shang)(shang)用(yong)(yong)密(mi)碼(ma)應(ying)(ying)用(yong)(yong)安(an)(an)(an)全性評(ping)(ping)(ping)(ping)估管理(li)(li)辦法（試行）》《信息系(xi)統密(mi)碼(ma)產品要求(qiu)(qiu)（試行）》《商(shang)(shang)(shang)用(yong)(yong)密(mi)碼(ma)應(ying)(ying)用(yong)(yong)安(an)(an)(an)全性評(ping)(ping)(ping)(ping)估測評(ping)(ping)(ping)(ping)過(guo)程指(zhi)南（試行）》《商(shang)(shang)(shang)用(yong)(yong)密(mi)碼(ma)應(ying)(ying)用(yong)(yong)安(an)(an)(an)全性評(ping)(ping)(ping)(ping)估測評(ping)(ping)(ping)(ping)作業指(zhi)導書（試行）》等標(biao)準規(gui)范、指(zhi)導性文(wen)件及(ji)管理(li)(li)要求(qiu)(qiu)，對照通過(guo)密(mi)評(ping)(ping)(ping)(ping)的(de)密(mi)碼(ma)應(ying)(ying)用(yong)(yong)方案，核(he)查不適用(yong)(yong)指(zhi)標(biao)的(de)條件是否(fou)成立(li)、替代性風險(xian)控制措施(shi)是否(fou)落實，從而確定適用(yong)(yong)和不適用(yong)(yong)的(de)測評(ping)(ping)(ping)(ping)指(zhi)標(biao)，然后從總(zong)體要求(qiu)(qiu)、物理(li)(li)和環境安(an)(an)(an)全、網絡和通信安(an)(an)(an)全、設備(bei)和計(ji)算(suan)安(an)(an)(an)全、應(ying)(ying)用(yong)(yong)和數據(ju)(ju)安(an)(an)(an)全、密(mi)鑰管理(li)(li)、安(an)(an)(an)全管理(li)(li)等方面開(kai)展評(ping)(ping)(ping)(ping)估，根據(ju)(ju)政務信息系(xi)統當前的(de)安(an)(an)(an)全狀況，給(gei)出評(ping)(ping)(ping)(ping)估結果并提出有針對性的(de)整改(gai)建議。

內容來源：《政務信息系統密碼應用與安全(quan)性評估(gu)工(gong)作(zuo)指南》（2020版），中國密碼學(xue)會密評聯委會