政务信息系统密码应用与安全性评估 工作指南 （2020 版） 中国密码学会密评联委会 二〇二〇年九月 前 言 为贯彻落实《国家政务信息化项目建设管理办法》 （国办发〔2019〕 57 号）密码应用与安全性评估要求，依据《中华人民共和国密码法》 及商用密码管理规定，制定本指南。本指南可用于指导非涉密的国家 政务信息系统建设单位和使用单位规范开展商用密码应用与安全性 评估工作，也可供政务信息系统集成单位和商用密码应用安全性评估 机构参考。各级地方政务信息化项目建设单位和使用单位也可参照本 指南开展相关工作。 本指南主要依据《国家政务信息化项目建设管理办法》《商用密 码应用安全性评估管理办法（试行）》 《政务信息系统政府采购管理暂 行办法》（财库〔2017〕210 号）和 GM/T 0054—2018《信息系统密 码应用基本要求》编制。政务信息系统密码应用与安全性评估相关密 码国家标准和行业标准正在制定过程中，GM/T 0054 对应的国家标准 即将发布，本指南中任何与当前或后续发布的密码国家标准和行业标 准不一致之处，以相关密码国家标准和行业标准为准。必要时本指南 将根据最新的管理要求与相关技术标准进行更新。 本指南分为三章。第一章为政务信息系统密码应用与安全性评估 实施过程指南，依据《国家政务信息化项目建设管理办法》和《商用 密码应用安全性评估管理办法（试行） 》 ，给出了政务信息系统规划、 建设、运行阶段，项目建设单位和使用单位分别应当开展的密码应用 与安全性评估相关工作。第二章为政务信息系统密码应用措施指南， 主要依据 GM/T 0054，介绍了密码在政务信息系统中发挥的主要功 -1- 能，并给出了密码应用措施方面的建议，可供项目建设单位结合自 身实际进行选择和调整。第三章为政务信息系统密码应用与安全性 评估质量保障指南，给出了项目建设单位和使用单位、系统集成单 位、密评机构在相关活动中的质量管理建议。 本指南附录 1 提供了密码应用方案模板，可供项目建设单位在设 计编制密码应用方案时参考。附录 2 提供了已发布的密码国家标准和 密码行业标准目录。附录 3 选取政务信息系统中常见的电子公文处理 系统，选择最小业务场景，提炼基本密码应用需求，设计了一个精简 版的密码应用方案示例，在密码应用流程、密钥管理、安全管理、实 施保障等方面较为简略，可为各单位编写密码应用方案提供思路参 考，实际工作请结合附录 1，依据项目实际设计编制密码应用方案。 移动互联、云计算等场景下的政务信息系统，本指南必要时将以补篇 的形式单独发布密码应用方案示例。 本指南起草单位：中国密码学会密评联委会、国家信息中心、国 家密码管理局商用密码检测中心、兴唐通信科技有限公司、北京信安 世纪科技股份有限公司、中国科学院信息工程研究所、国家信息技术 安全研究中心、中金金融认证中心有限公司、北京数字认证股份有限 公司、北京数盾信息科技有限公司。 本指南主要起草人：刘尚焱、汪宗斌、马原、霍炜、许长伟、罗 海宁、吴冬宇、贾世杰、郑昉昱、王兵、肖秋林、何济尘、韩东、许 涛、傅大鹏、程子栋、王彦力、朱凌、贺磊、张宛垚、贺凯。 -2- 目 录 一、政务信息系统密码应用与安全性评估实施过程指南....................................................... - 1 （一）过程概述.................................................................................................................... - 1 （二）规划阶段.................................................................................................................... - 2 （三）建设阶段.................................................................................................................... - 2 （四）运行阶段.................................................................................................................... - 3 二、政务信息系统密码应用措施指南........................................................................................- 3 （一）总体要求.................................................................................................................... - 4 （二）物理和环境安全........................................................................................................- 4 （三）网络和通信安全........................................................................................................- 5 （四）设备和计算安全........................................................................................................- 6 （五）应用和数据安全........................................................................................................- 7 （六）密钥管理.................................................................................................................... - 8 （七）安全管理.................................................................................................................... - 9 三、政务信息系统密码应用与安全性评估质量保障指南....................................................... - 9 （一）项目建设单位和项目使用单位................................................................................- 9 （二）系统集成单位.......................................................................................................... - 11 （三）密评机构.................................................................................................................. - 11 附录 1 政务信息系统密码应用方案模板...............................................................................- 13 - 附录 2 密码相关标准（截至 2020 年 6 月）.........................................................................- 22 - 附录 3 某部机关电子公文处理系统密码应用方案示例...................................................... - 31 - I 一、政务信息系统密码应用与安全性评估实施过程指南 本章根据《国家政务信息化项目建设管理办法》（以下简称《办 法》 ）和《商用密码应用安全性评估管理办法（试行） 》等相关要求， 参照 GM/T 0054-2018《信息系统密码应用基本要求》 （以下简称《基 本要求》）给出政务信息系统在规划阶段、建设阶段和运行阶段的密 码应用与安全性评估实施过程指南。 （一）过程概述 《办法》第十五条要求“项目建设单位应当落实国家密码管理有 关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码 保障系统并定期进行评估”，即政务信息系统中的密码保障系统应做 到“三同步一评估”。政务信息系统的密码应用与安全性评估贯穿于 系统的规划、建设和运行阶段，其实施过程如图 1 所示。 图 1 政务信息系统密码应用与安全性评估实施过程示意图 -1- 《办法》所指项目建设单位、使用单位、审批部门、主管部门等 承担项目规划、审批、建设和资金管理等职能部门中的密码管理机构， 应按职责做好相关项目密码应用与安全性评估工作的指导、评价、督 促，对密码应用方案、密码应用安全性评估报告（以下简称“密评报 告”）及相关工作质量进行把关，对密码应用、密码保障系统建设、 密评实施、整改时限等提出要求，向相关主责部门提出工作建议，有 关情况及时向国家密码管理部门报告。国家密码管理部门将建立完善 国家政务信息系统密码应用信息库，对国家政务信息系统密码应用及 其密评情况实施台账管理。 （二）规划阶段 在政务信息系统规划阶段，项目建设单位分析系统现状，对系统 面临的安全风险和风险控制需求进行分析，明确密码应用需求，根据 系统的网络安全保护等级，依据《基本要求》等相关标准，参照政务 信息系统密码应用方案模板（见附录 1），编制政务信息系统密码应 用方案，从《商用密码应用安全性评估试点机构目录》（可通过访问 “国家密码管理局官方网站-通知公告-国家密码管理局第 40 号公告” 获取）中选择商用密码应用安全性评估机构（以下简称“密评机构” ） 进行商用密码应