由網(wǎng)絡(luò)運營者提供密碼應(yīng)用建設(shè)方案（新建系統(tǒng)）或梳理和完善已有密碼應(yīng)用建設(shè)方案（已建系統(tǒng)）；興先道密碼應(yīng)用安全性評估人員對密碼應(yīng)用方案進行指標評估和量化評估，評估其是否符合被測系統(tǒng)現(xiàn)狀和《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南》等標準要求。評估完成后輸出密碼應(yīng)用方案評估報告，包含系統(tǒng)概述、安全控制措施描述及指標適用情況、安全控制措施評估結(jié)果以及方案評估結(jié)論（通過或未通過）。隨后將相關(guān)報告提交至密碼管理局，進行備案材料審查。

　由密碼應(yīng)用安全性評估人員參照《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》和《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測評要求》，對網(wǎng)絡(luò)運營者的測評對象開展密碼應(yīng)用系統(tǒng)測評。包含以下步驟：

評估準備活動：了解和掌握被測系統(tǒng)的業(yè)務(wù)流程、架構(gòu)、范圍邊界、管理組織等詳細情 況；準備評估項目涉及聯(lián)系人清單；熟悉被測系統(tǒng)現(xiàn)狀；了解被測系統(tǒng)既往等級保護測 評情況等。

方案編制活動：確定與被測系統(tǒng)相適應(yīng)的覆蓋對象、評估指標及評估內(nèi)容、評估側(cè)重點 等，形成現(xiàn)場評估實施方案；提交評估實施方案至被評估單位確認；確定工具測試方法 等。

現(xiàn)場評估活動：召開項目啟動會，明確雙方工作職責(zé)和配合內(nèi)容；分步實施所有測評項。 實施工具測試，了解系統(tǒng)的真實防護情況，發(fā)掘系統(tǒng)存在的密碼應(yīng)用安全性問題；將現(xiàn) 場調(diào)閱資料歸還并恢復(fù)現(xiàn)場。

分析與編制報告：分析單項評估記錄，找出被測系統(tǒng)的密碼應(yīng)用情況與相應(yīng)安全等級對 應(yīng)的密碼應(yīng)用要求之間的差距；分析單項風(fēng)險、關(guān)聯(lián)合成風(fēng)險和整體風(fēng)險；編撰完成系 統(tǒng)密評報告，并附整改意見。

　　根據(jù)《商用密碼應(yīng)用安全性評估管理辦法》要求，重要網(wǎng)絡(luò)與信息系統(tǒng)建成運行后，其運營者應(yīng)當自行或者委托商用密碼檢測機構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評估，確保商用密碼保障系統(tǒng)正確有效運行。未通過商用密碼應(yīng)用安全性評估的，運營者應(yīng)當進行改造，并在改造期間采取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運行安全。