FAQ！由于经费原因进行分期规划、改造的信息系统如何开展密评？- 大数跨境

云上密码服务

2024-09-06

导读：不忘初心，守护命门

2023年10月26日，中国密码学会网站更新信息，中国密码学会密评联委会组织修订的《商用密码应用安全性评估FAQ》（第三版，点击查看）已于日前发布，该文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答，以帮助相关人员更好开展商用密码应用与安全性评估工作。

本周为大家更新FAQ里的问题7“如何开展分期规划、改造的信息系统的密码应用安全性评估”。

背景：在进行信息系统密评时发现，被测信息系统有通过评估的密码应用方案，且方案中明确了该系统是分期做密码改造。例如，由于经费原因，应用和数据安全层面的身份鉴别指标不做改造但给出了合理的风险缓解措施，且明确在二期建设中进行改造并给出改造的密码应用解决方案。在被测系统按照密码应用方案一期建设要求完成建设后，开展密评。

问题：针对上述情况，在信息系统按密码应用方案完成一期建设后开展密评时，该如何确定测评范围？

解答：对于密码应用方案中涉及分期密码改造的情况，在实际测评时，应根据系统定级范围和密码应用需求选取所有适用的测评指标和测评对象开展系统密评并给出评估结论，即测评指标和测评对象的选取范围与该系统是否进行分期密码改造无关。

不忘初心守护命门

● ● ●