商用密码应用安全性评估管理办法(2023年) 第十条
第十条 对商用密码应用方案开展商用密码应用安全性评估,应当包括以下内容:
考量商用密码应用需求的全面性、合理性和针对性,对照相关标准规范选取适用指标的准确性,以及不适用指标论证的充分性;
分析商用密码应用流程和机制是否具备可实施性、商用密码保护措施是否达到相应的商用密码应用要求、相关描述是否详尽;
论证商用密码技术、产品和服务选用的合规性,密钥管理的安全性,以及使用商用密码解决安全风险的科学性;
编制形成商用密码应用安全性评估报告。
考量商用密码应用需求的全面性、合理性和针对性,对照相关标准规范选取适用指标的准确性,以及不适用指标论证的充分性;
分析商用密码应用流程和机制是否具备可实施性、商用密码保护措施是否达到相应的商用密码应用要求、相关描述是否详尽;
论证商用密码技术、产品和服务选用的合规性,密钥管理的安全性,以及使用商用密码解决安全风险的科学性;
编制形成商用密码应用安全性评估报告。