密评的工作流程是什么？

1. 测评准备活动

测评准备是密评工作的基础和前提：

• 项目启动：明确测评目标、范围、依据和标准
• 信息收集与分析：收集被测系统的相关资料，包括系统架构、密码应用方案、管理制度等
• 工具和表单准备：准备测评工具、检查表单、记录表格等

2. 方案编制活动

方案编制是密评的关键环节：

• 确定测评对象：明确测评的系统边界、网络边界、密码产品边界
• 确定测评指标：依据GB/T 39786-2021确定各层面的测评指标
• 确定测试检查点：明确现场测评的具体检查点和测试方法
• 形成测评方案：编制详细的测评方案，为现场测评提供依据

3. 现场测评活动

现场测评是密评的核心活动：

• 执行测评方案：严格按照测评方案实施现场测评
• 记录测评结果：规范、准确、完整地填写测评结果记录
• 获取证据：通过访谈、文档审查、配置检查、工具测试等方式获取证据
• 发现安全问题：识别密码应用中的安全隐患和不合规项

4. 分析与报告编制活动

报告编制是给出测评结果的活动：

• 分析测评结果：对现场测评获取的证据进行分析，判定各项指标是否符合标准要求
• 编制测评报告：编制《商用密码应用安全性评估报告》，详细记录测评过程和发现的问题
• 提出改进建议：针对不合规项提出具体的整改建议

5. 备案活动

备案是密评工作的收尾环节：

• 报备评估结果：在密评活动结束30个工作日内，将评估结果报密码管理部门等相关部门备案
• 三级及以上系统备案：三级及以上系统还需要到当地公安机关进行备案
• 备案材料：提交《网络与信息系统密评备案信息表》、密评合同、密评报告等材料

6. 腾讯云密评合规解决方案

为帮助用户更高效、更省心地通过密评，腾讯云提供了一站式密评合规解决方案，覆盖密评全流程：

• 差距分析：依据GB/T 39786-2021等国家标准，对应用系统进行全面的差距分析，识别密码应用中的不合规项
• 方案设计：根据差距分析结果，编制《商用密码应用方案》，并提供专业的方案评估服务
• 应用集成改造：提供多种免应用开发改造的密码产品，如国密数据存储加密CASB、国密堡垒机等，应用无需深度代码改造即可满足合规要求，最小化业务改造成本
• 密码测评：携手第三方专业的测评机构，开展密码应用安全性评估，获得合规的测评报告
• 持续运维：提供密码产品的持续运营、运维和技术支持，以及每年的密评复检服务

腾讯云密评合规解决方案的核心优势：

• 应用免开发改造更简单：提供免应用开发改造的国密存储加密CASB、国密堡垒机等密码产品，应用无需进行深度代码改造即可满足数据机密性和完整性的合规要求
• 一站式密评服务更省心：提供从需求沟通、差距分析、方案制定、业务改造到密码测评的全流程一站式服务，帮助用户更快、更好、更省心地通过密评
• 云密码产品资质合规：腾讯云上的密码产品均已取得国家密码管理局认证的资质证书，满足GB/T 39786-2021中的各项要求