商用密码应用安全性测评机构能力评审实施细则（试行） 国家密码管理局 2017年9月27日印发 第一章 总则 （一）目的和依据 为规范申请商用密码应用安全性测评机构的单位（以下简称申请单位）的 能力评审工作，依据《中华人民共和国网络安全法》《商用密码管理条例》 《商用密码应用安全性评估管理办法（试行）》《商用密码应用安全性测评机 构管理办法（试行）》等有关规定，制定本细则。 （二）基本原则 申请单位能力评审遵循公平、公正、独立、客观的原则。 （三）适用范围 本实施细则适用于对申请单位的能力评审。 第二章 工作职责 国家密码管理局组织对申请单位的测评能力进行评审。能力评审实行专家 组负责制。 国家密码管理局在能力评审中的具体职责包括： 1.负责能力评审工作的组织管理，审核申请资料的完整性与规范性； 2.建立并维护能力评审专家库； 3.设立评审专家组，在能力评审专家库随机抽取评审专家，指定专家组组 长，由专家组负责对申请单位的能力进行评估、判定； 4.负责与申请单位的沟通协调，组织并监督现场评审； 5.负责出具能力评审结论。 第三章 评审程序 国家密码管理局成立由 5-7名专家组成的评审专家组，组织专家评审。评 审分为 材料核查 、现场评审、综合评议三个阶段。 （一）材料核查 专家组对照评审内容和要求对申请单位提交的材料进行查阅。对需要现场 核实的内容予以记录，以备现场评审时核查。 （二）现场评审 专家组前往申请单位，采取查看、问询、模拟测试、问卷考试等形式，对 照《商用密码应用安全性测评机构能力要求》（见附件 C-1）对测评机构的基 本情况、人员结构、测评实验室条件、仪器设备条件、测评实施能力、质量管 理能力和风险控制能力等 7个方面进行评审。 专家组根据现场评审情况，对照《商用密码应用安全性测评机构能力评审 专家评分表》逐项打分。 （三）综合评议 专家组组长主持召开会议，综合材料审查和现场评审情况进行研讨和评 议，汇总专家评分情况，填写《商用密码应用安全性测评机构能力评审汇总 表》，提交国家密码管理局。 第四章 工作要求 测评机构能力评审工作过程中，专家组应遵循如下要求： （一）遵守法律法规和技术规范要求，坚持客观、独立、科学、公正的原 则，专家对所评分数负责。 （二）按时参加评审活动，认真履行职责，廉洁自律，不得借评审谋取私 利。 （三）遵守相关保密规定，对评审中接触到的有关情况负有保密责任。 （四）有下列情形之一的，专家应当主动向国家密码管理局申请回避： 1.专家担任申请单位技术顾问等职务的； 2.专家所在单位与申请单位存在利益关系的； 3.专家与申请单位存在利益关系的其他情况。 如未主动申请回避的，一经发现，取消其专家资格。 附件：D-1.商用密码应用安全性测评机构能力要求 D-2.商用密码应用安全性测评机构能力评估申请表 附件：商用密码应用安全性测评机构能力要求 国家密码管理局 2017年9月27日印发 本要求适用于申请商用密码应用安全性测评机构的单位。申请成为商用密 码应用安全性测评机构的单位应满足包括基本情况、人员结构、测评实验室条 件、仪器设备条件、测评实施能力、质量管理能力和风险控制能力等方面的要 求。 一、基本情况 （1）中华人民共和国境内注册，由国家投资、法人投资或公民投资成立的 企事业单位。 （2）产权关系明晰，注册资金 500万元以上。 （3）成立年限在 2年以上，从事信息安全系统相关工作年限 1年以上，无 违法记录。 二、人员要求 （1）配备测评技术负责人与质量负责人各 1人，应熟悉信息系统密码应用 安全性测评业务，从事商用密码或质量管理相关工作 5年以上。 （2）测评人员应为签订正式合同的工，具有本科以上学历和密码相关经 验，且通过“商用密码应用安全性测评人员考核”的测评人员不少于 10人。 （3）测评人员的审核以通过培训考核的测评人员名单为依据。 三、测评工作场所条件要求 （1）实验室清洁整齐，工作场地不小于 200平方米，采光、通风、温湿 度、防震等应满足实际测评的需求。 （2）实验室环境、安全、环保、功能布局等应符合质量管理的相关规定， 并配有必要的防污染、防火、控制进入等安全措施，各个测评实验室或、一个 实验室的不同测评区域开展的项目应当互不影响。 （3）凡是对测评方法或测评仪器有要求的，应按要求对测评场所的温度、 湿度等环境条件进行有效、准确的测量并记录。 四、仪器设备条件要求 （1）具备符合相关要求的机房以及必要的软、硬件设备，满足技术培训、 测评验证和模拟测试的需要。 （2）配备满足商用密码应用安全性评估工作需要的测评设备和工具，包括 密码相关标准符合性分析工具、网络数据分析工具、网络协议分析工具等。测 评设备和工具需要定期核查，确保其运行状态良 好，有校准要求的仪器设备需 按时送至校准实验室进行门校准，并确保所进行的校准可溯源到国际单位制。 （3）具有完备的设备和工具管理制度。设备档案和标识管理，以及故障设 备和工具管理有明确要求。对测评设备和工具统一登记、统一标识，标识完 整、摆放合理，具有配套防护如防尘等措施，对于有故障的设备和工具应通过 加盖明显标识进行区分，并采取有效措施防止继续使用。 （4）仪器设备具有完整的操作维护规程、仪器设备使用说明书、校准报 告、使用记录、定期维修核查制度和记录，存放地点及保管人等信息规范完 整。 五、测评实施能力要求 （1）具有把握国家密码政策、理解和掌握相关技术标准、熟悉测评方法流 程和工作规范等方面知识及能力的测评人员，测评人员应能够依据测评结果作 出专业判断以及出具测评报告。 （2）具备商用密码应用安全性技术测评实施能力，包括身份鉴别、访问控 制、数据安全、密钥管理、安全审计等方面作业指导书的开发、使用、维护及 获取相关结果的专业判断。 （3）具备商用密码应用安全性管理测评实施能力，包括人员、制度、备 份、应急等方面测评指导的开发、使用、维护及获取相关结果的专业判断。 （4）具备系统整体评估能力，能根据单元测评结果进行综合分 析，给出测 评结论。 （5）宜具备搭建密码应用模拟系统并开展评估的能力，以展现商用密码应 用安全性技术测评实施能力、管理测评实施能力和详细测评工作流程。 （6）依据测评工作流程，有计划有步骤地开展测评工作，并保证测评活动 的每个环节都得到有效的控制。主要包括四个阶段： a)测评准备阶段：搜集被测系统的相关资料信息，全面掌握被测系统密码 使用的详细情况，为测评工作的开展打下基础。 b)方案编制阶段：正确合理地确定测评对象、测评边界、测评指标等内 容，并依据技术标准，规范编制测评方案、测评结果记录表格，测评方案应通 过技术评审并有相关记录。 c)现场测评阶段：严格执行测评方案中的内容和要求，并依据操作规程熟 练地使用测评设备和工具，规范、准确、完整地填写测评结果记录，获取足够 证据，客观、真实、科学地反映出系统的密码安全防护状况，测评过程应予以 监督并记录。 d)报告编制阶段：通过对测评数据的综合分析得出被测信息系统密码安全 防护现状与相应的技术标准要求之间的差距，分析差距可能导致被测系统面临 的风险，给出测评结论，形成测评报告。测评报告应依据国家密码管理部门统 一编制的报告模板的格式和内容要求编写。测评报告应包括所有测评结果、根 据这些结果做出的专业判断以及理解和解释这些结果所需要的相关信息，以上 信息均应正确、准确、清晰地表述。 六、质量管理能力要求 （1）建立质量管理体系，制定相应的质量目标；指定质量主管，并明确其 管理职责。 （2）根据国家有关保密规定制定保密管理制 度，明确保密范围、保密职责 及有关罚则等内容，定期对工作人员进行保密教育，防止发生泄露国家秘密、 商业秘密、敏感信息和个人隐私的事件，测评人员应当签订《保密责任书》， 规定其应当履行的安全保密义务和承担的法律责任。 （3）依据相关技术标准制定测评项目管理程序，包括测评工作的组织形 式、工作职责，测评各阶段的工作内容和管理要求等。 （4）保证管理体系的有效运行，持续改进自身的测评质量和管理水平，发 现问题及时反馈并采取纠正措施。 （5）制定投诉及争议处理制度，严格遵守制度并记录采取的措施。 七、风险控制能力要求 （1）充分估计测评过程可能给被测系统带来的风险，风险包括但不限于以 下方面： a)由丁自身能力或资源不足造成的风险； b)测评验证活动可能对被测系统正常运行造成影响的风险； c)测评设备和工具接入可能对被测系统正常运行造成影响的风险； d)测评活动残留数据的保护和清理工作造成的风险； e)测评过程中可能发生的被测系统重要信息（如网络拓扑、 IP地址、业务 流程、安全机制、安全隐患和有关文档等）泄露的风险等。 （2）针对上述风险制定规避和控制措施。