密码应用安全性评估基本原则

       客观公正原则
       测评实施过程中，测评方（测评机构）应保证在最小主观判断情形下，按照与强测方（被测系统责任单位）共同认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。
       经济性和可重用性原则
       测评工作可以重用己有测评结果，包括商用密码安全产品检测结果和商用密码应用安全性评估测评结果。所有重用结果都应以结果适用于待测系统为前提，并能够客观反映系统目前的安全状态。

       可重复性和可再现性原则
       依照同样的要求，使用同样的测评方法，在同样的环境下，不同的测评者对每个测评实施过程的重复执行应得到同样的结果。可重复性和可再现性的区别在于，前者与同测评者测评结果的一致性有关，后者则关注不同测评者测评结果的一致性。
       结果完善性原则
       在正确理解《信息系统密码应用基本要求》各个要求项内容的基础之上，测评所产生的结果应客观反映信息系统的运行状态。测评过程和结果应基于正确的测评方法，以确保满足其要求。

商用密码应用安全性评估的主要内容

      评估依据和基本原则
       密评工作应当遵循国家法律法规及相关标准。测评机构开展评估应当遵循商用密码管理政策和GM/T 0054-2018《信息系统密码应用基本要求》《信息系统密码测评要求(试行)》等相关密码标准和指导性文件的要求，遵循独立、客观、公正的原则。

      评估的主要内容
       密评的对象是采用商用密码技术、产品和服务集成建设的网络与信息系统，评估的内容包括密码应用安全的三个方面:合规性、正确性和有效性。

       密码应用合规性评估
       密码应用合规性评估是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。
 

       密码应用正确性评估
       密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确，即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现，自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求，密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。
 

       密码应用有效性评估
       密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息系统的安全需求，是否切实解决了信息系统面临的安全问题。