核心结论：企业准备密评时需要遵循“合规打底、资料闭环、工具就绪、风险前置”原则，并按4大核心阶段推进，以确保满足GM/T 0116-2021等标准要求，为后续测评工作奠定基础。

一、密评关键标准

企业在进行密评准备工作时候，需要围绕“合规性、正确性、有效性”三大核心目标展开工作，因此需要严格遵循以下三项关键标准：

GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》

GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》

GM/T 0116-2021《信息系统密码应用测评过程指南》

二、准备流程

1. 前期筹备阶段

明确测评范围：被测单位开始前需要确定被测信息系统边界（如是否与其他的信息系统有网络、数据传输等方面的交互）、核心业务流程（如业务数据和业务应用功能等）及关键资产（如重要数据、硬件设备等），并确认系统等保定级结果，如果没有一般是按照等保三级来开展密评工作。

组建专项团队：被测单位需要明确与测评方的对接人，并组建与被测信息系统相关的项目团队，该团队包含被测信息系统的业务、技术、运维和安全人员。

签订法定协议：为了明确测评方和被测单位之间的权利和义务，还有保密要求，被测单位需要和有资质的测评方签委托测评协议书和保密协议。

2. 资料收集与整理阶段

基础资质文件：系统网络安全等级保护定级报告、密码应用方案及评估报告、相关合规性证明文件。

技术架构资料：系统架构总体描述文件、网络拓扑图、软硬件部署清单、安全设计方案及配置文档。

密码相关材料：密码产品（如密码机、VPN、电子签章等）的商用密码产品认证证书、用户操作指南，密钥管理规章制度及过程记录等文档。

管理类文档：密码应用安全管理制度及相关记录表单、人员培训记录、密码应用应急策略及应急处置记录文档、安全事件报告、安全事件发生情况及处置情况报告、攻防对抗演习报告等。

3. 工具与表单准备阶段

测评工具的校准：确保测评方使用的协议分析、算法合规性检测等工具（如Wiresahrk、tcpdump、ASN.1等）符合国家密码管理部门要求并完成校准。

测评必备的表单准备：提前准备好现场测评授权书、风险告知书、文档交接单、会议签到表、测评记录表单等相关资料文档。

搭建模拟环境进行测评：如果自身条件允许的情况下，被测单位可以搭建与被测系统一致的模拟环境，从而降低现场测评时对正式业务运行的影响。

4. 风险规避

为了防止密评过程中可能出现的风险问题，被测单位一般可以在密评开始前采用数据备份、风险预判、明确测评时段等技术手段来规避密评中可能出现的风险。

密评容易踩的2大坑

1：认为“零改造能通过密评” 密评的核心是推动密码的“合规、正确、有效”应用，脱离系统实际情况的“零改造”方案，如果无法满足安全要求，则必然无法通过评估。

2：忽略应用层密码建设 应用和数据安全层面的密码安全要求在密评得分中占比高达30%，且包含5项高风险项，若不认真进行密码改造，不仅会导致分数不及格，还容易触发高风险导致“一票否决”。