由網(wǎng)絡(luò)運(yùn)營(yíng)者提供密碼應(yīng)用建設(shè)方案（新建系統(tǒng)）或梳理和完善已有密碼應(yīng)用建設(shè)方案（已建系統(tǒng)）；興先道密碼應(yīng)用安全性評(píng)估人員對(duì)密碼應(yīng)用方案進(jìn)行指標(biāo)評(píng)估和量化評(píng)估，評(píng)估其是否符合被測(cè)系統(tǒng)現(xiàn)狀和《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)指南》等標(biāo)準(zhǔn)要求。評(píng)估完成后輸出密碼應(yīng)用方案評(píng)估報(bào)告，包含系統(tǒng)概述、安全控制措施描述及指標(biāo)適用情況、安全控制措施評(píng)估結(jié)果以及方案評(píng)估結(jié)論（通過(guò)或未通過(guò)）。隨后將相關(guān)報(bào)告提交至密碼管理局，進(jìn)行備案材料審查。

　由密碼應(yīng)用安全性評(píng)估人員參照《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》和《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的測(cè)評(píng)對(duì)象開(kāi)展密碼應(yīng)用系統(tǒng)測(cè)評(píng)。包含以下步驟：

評(píng)估準(zhǔn)備活動(dòng)：了解和掌握被測(cè)系統(tǒng)的業(yè)務(wù)流程、架構(gòu)、范圍邊界、管理組織等詳細(xì)情 況；準(zhǔn)備評(píng)估項(xiàng)目涉及聯(lián)系人清單；熟悉被測(cè)系統(tǒng)現(xiàn)狀；了解被測(cè)系統(tǒng)既往等級(jí)保護(hù)測(cè) 評(píng)情況等。

方案編制活動(dòng)：確定與被測(cè)系統(tǒng)相適應(yīng)的覆蓋對(duì)象、評(píng)估指標(biāo)及評(píng)估內(nèi)容、評(píng)估側(cè)重點(diǎn) 等，形成現(xiàn)場(chǎng)評(píng)估實(shí)施方案；提交評(píng)估實(shí)施方案至被評(píng)估單位確認(rèn)；確定工具測(cè)試方法 等。

現(xiàn)場(chǎng)評(píng)估活動(dòng)：召開(kāi)項(xiàng)目啟動(dòng)會(huì)，明確雙方工作職責(zé)和配合內(nèi)容；分步實(shí)施所有測(cè)評(píng)項(xiàng)。 實(shí)施工具測(cè)試，了解系統(tǒng)的真實(shí)防護(hù)情況，發(fā)掘系統(tǒng)存在的密碼應(yīng)用安全性問(wèn)題；將現(xiàn) 場(chǎng)調(diào)閱資料歸還并恢復(fù)現(xiàn)場(chǎng)。

分析與編制報(bào)告：分析單項(xiàng)評(píng)估記錄，找出被測(cè)系統(tǒng)的密碼應(yīng)用情況與相應(yīng)安全等級(jí)對(duì) 應(yīng)的密碼應(yīng)用要求之間的差距；分析單項(xiàng)風(fēng)險(xiǎn)、關(guān)聯(lián)合成風(fēng)險(xiǎn)和整體風(fēng)險(xiǎn)；編撰完成系 統(tǒng)密評(píng)報(bào)告，并附整改意見(jiàn)。

　　根據(jù)《商用密碼應(yīng)用安全性評(píng)估管理辦法》要求，重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后，其運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)每年至少開(kāi)展一次商用密碼應(yīng)用安全性評(píng)估，確保商用密碼保障系統(tǒng)正確有效運(yùn)行。未通過(guò)商用密碼應(yīng)用安全性評(píng)估的，運(yùn)營(yíng)者應(yīng)當(dāng)進(jìn)行改造，并在改造期間采取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行安全。