三同步一评估

对依法应当使用商用密码保护的网络与信息系统，项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行商用密码安全性评估，即信息系统中的密码保障系统应做到“三同步一评估”。

信息系统的密码应用与安全性评估贯穿于系统的规划、建设和运行阶段，其实施过程如图所示。

（一）规划阶段

在信息系统规划阶段，项目建设单位分析系统现状，对系给面临的安全风险和风险控制需求进行分析，明确密码应用需求，根担系统的网络安全保护等级，依据《基本要求》等相关标准，编制政务信息系统密码应用方案，从《商用密码应用安全性评估试点机构目录》(可通过访问“国家密码管理局官方网站-通知公告-国家密码管理局第40号公告”获取)中选择商用密码应用安全性评估机构(以下简称“密评机构”)进行商用密码应用安全性评估(以下简称“密评”)。密码应用方案通过密评是项目立项的必要条件。

（二）建设阶段

在信息系统建设阶段，系统集成单位在项目建设单位的明确要求下按照通过密评的密码应用方案建设密码保障系统，确保系统密码应用符合国家密码管理要求。建设阶段涉及密码应用方案调整优化的，应委托密评机构再次对调整后的密码应用方案进行确认。系统建设完成后，项目建设单位委托密评机构对系统开展密评。系统通过密评是项目验收的必要条件。
 未通过密评的政务信息系统，项目建设单位针对评估中发现的安全问题及时整改，整改完成后可请密评机构进行复评，更新评估结果。仍未通过的，不得通过项目验收。

（三）运行阶段

在信息系统运行阶段，项目使用单位定期委托密评机构对系统开展密评，网络安全保护等级第三级及以上的政务信息系统，每年至少密评一次，可与关键信息基础设施安全检测评估、网络安全等级测评等工作统筹考虑、协调开展。