中国密码学会：商用密码应用安全性评估FAQ（第二版）

不能直接判定为“符合”。信息系统采用经认证合格的密码产品仅仅是密钥管理安全性判 定为“符合”的必要条件，还应当对以下内容进行核查： （1）该密码产品的安全级别是否满足GB/T 39786-2021 相应等级的要求，如GB/T 39786 第三级的信息系统应当采用满足GB/T 37092-2018第二级及以上安全要求的密码产品； （2）如果被测系统有密码应用方案，应核查系统密钥管理机制是否与方案一致；如果 被测系统无密码应用方案，应分析其密钥体系设计是否合理、实现是否正确； （3）由密码产品产生的密钥在该密码产品外部进行管理，是否进行了相应保护，如密 钥在外部数据库中存储/备份/归档时是否进行了机密性和完整性保护； （4）该密码产品是否按照产品配套的安全策略文档进行部署和使用，信息系统的密钥 管理制度是否能够保证该密码产品被正确地部署和使用等。