密评的实施周期需要多久？

1. 新建系统密评周期

新建信息系统的密评实施周期：

• 规划阶段：编写密码应用方案，委托测评机构对方案进行评估，周期约1-2个月
• 建设阶段：根据通过评估的密码应用方案进行系统建设，周期视系统规模而定，通常3-6个月
• 评估阶段：系统建设完成后，开展商用密码应用安全性评估，周期约1-2个月
• 整改阶段：针对评估中发现的不合规项进行整改，整改完成后重新评估，周期视整改工作量而定
• 总体周期：新建系统从规划到通过密评，总体周期通常6-12个月

2. 存量系统密评周期

已投入运行系统的首次密评周期：

• 现状分析：分析系统现有密码应用情况，识别不合规项，周期约1个月
• 改造方案设计：编制密码应用改造方案，委托测评机构对方案进行评估，周期约1-2个月
• 改造实施：根据改造方案进行系统改造，周期视改造工作量而定，通常3-6个月
• 评估阶段：改造完成后开展密评，周期约1-2个月
• 总体周期：存量系统从启动改造到通过密评，总体周期通常6-12个月

3. 定期密评周期

系统通过密评后的定期评估周期：

• 评估频率：关键信息基础设施、等保三级及以上系统，每年至少开展一次密评
• 评估内容：定期评估主要关注密码应用的变化情况、密钥管理情况、安全管理制度执行情况等
• 评估周期：定期密评的实施周期通常1-2个月
• 整改要求：定期评估中发现的不合规项，需在下次评估前完成整改

4. 影响周期的因素

影响密评实施周期的主要因素：

• 系统规模：系统规模越大，密码应用越复杂，评估周期越长
• 合规基础：系统原有密码应用合规性越好，整改工作量越小，周期越短
• 密码产品选型：选用的密码产品是否通过国密认证，是否成熟稳定，影响实施周期
• 人员配备：是否配备专业的密码技术人员，影响方案设计和改造实施周期
• 测评机构排期：测评机构的工作排期也会影响密评周期