规划阶段

编制商用密码应用方案

在确定密码应用等级后，信息系统责任单位需要分析系统现状，结合系统面临的安全风险和风险控制需求进行分析，明确密码应用需求，根据系统的密码应用等级，依据《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）相关要求，编制信息系统密码应用方案。

组织密码应用方案评估

信息系统责任单位编制密码应用方案后，需要组织专家或委托密评机构对密码应用方案进行评估，审定后的密码应用方案是开展信息系统建设、验收和评估等工作的重要依据。