运行阶段

落实密码应用安全管理

在信息系统运行阶段，信息系统责任单位应按照密码应用方案中的安全管理要求进行人员管理、密钥管理、运行维护、应急处置、密码软硬件及介质管理等工作。定期对密码应用安全管理制度进行评审和修订，保存管理制度的执行记录和证据。

定期开展密码应用评估

信息系统责任单位在密码应用投入运行后，需要定期委托密评机构对系统开展密码应用安全性评估工作，当评估未通过时,应当在一定期限内进行整改并重新组织评估。

根据《商用密码应用安全性评估管理办法（试行）》中规定，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

重大应急事件评估

当系统发生密码相关重大安全事件、重大调整或特殊紧急情况时，网络与信息系统责任单位需要及时组织密评机构开展商用密码应用安全性评估，并依据评估结果进行应急处置，采取必要的安全防范措施。