政务信息系统密码应用与安全性评估 工作指南 (2020 版) 中国密码学会密评联委会 二〇二〇年九月 前 言 为贯彻落实《国家政务信息化项目建设管理办法》 (国办发〔2019〕 57 号)密码应用与安全性评估要求,依据《中华人民共和国密码法》 及商用密码管理规定,制定本指南。本指南可用于指导非涉密的国家 政务信息系统建设单位和使用单位规范开展商用密码应用与安全性 评估工作,也可供政务信息系统集成单位和商用密码应用安全性评估 机构参考。各级地方政务信息化项目建设单位和使用单位也可参照本 指南开展相关工作。 本指南主要依据《国家政务信息化项目建设管理办法》《商用密 码应用安全性评估管理办法(试行)》 《政务信息系统政府采购管理暂 行办法》(财库〔2017〕210 号)和 GM/T 0054—2018《信息系统密 码应用基本要求》编制。政务信息系统密码应用与安全性评估相关密 码国家标准和行业标准正在制定过程中,GM/T 0054 对应的国家标准 即将发布,本指南中任何与当前或后续发布的密码国家标准和行业标 准不一致之处,以相关密码国家标准和行业标准为准。必要时本指南 将根据最新的管理要求与相关技术标准进行更新。 本指南分为三章。第一章为政务信息系统密码应用与安全性评估 实施过程指南,依据《国家政务信息化项目建设管理办法》和《商用 密码应用安全性评估管理办法(试行) 》 ,给出了政务信息系统规划、 建设、运行阶段,项目建设单位和使用单位分别应当开展的密码应用 与安全性评估相关工作。第二章为政务信息系统密码应用措施指南, 主要依据 GM/T 0054,介绍了密码在政务信息系统中发挥的主要功 -1- 能,并给出了密码应用措施方面的建议,可供项目建设单位结合自 身实际进行选择和调整。第三章为政务信息系统密码应用与安全性 评估质量保障指南,给出了项目建设单位和使用单位、系统集成单 位、密评机构在相关活动中的质量管理建议。 本指南附录 1 提供了密码应用方案模板,可供项目建设单位在设 计编制密码应用方案时参考。附录 2 提供了已发布的密码国家标准和 密码行业标准目录。附录 3 选取政务信息系统中常见的电子公文处理 系统,选择最小业务场景,提炼基本密码应用需求,设计了一个精简 版的密码应用方案示例,在密码应用流程、密钥管理、安全管理、实 施保障等方面较为简略,可为各单位编写密码应用方案提供思路参 考,实际工作请结合附录 1,依据项目实际设计编制密码应用方案。 移动互联、云计算等场景下的政务信息系统,本指南必要时将以补篇 的形式单独发布密码应用方案示例。 本指南起草单位:中国密码学会密评联委会、国家信息中心、国 家密码管理局商用密码检测中心、兴唐通信科技有限公司、北京信安 世纪科技股份有限公司、中国科学院信息工程研究所、国家信息技术 安全研究中心、中金金融认证中心有限公司、北京数字认证股份有限 公司、北京数盾信息科技有限公司。 本指南主要起草人:刘尚焱、汪宗斌、马原、霍炜、许长伟、罗 海宁、吴冬宇、贾世杰、郑昉昱、王兵、肖秋林、何济尘、韩东、许 涛、傅大鹏、程子栋、王彦力、朱凌、贺磊、张宛垚、贺凯。 -2- 目 录 一、政务信息系统密码应用与安全性评估实施过程指南....................................................... - 1 (一)过程概述.................................................................................................................... - 1 (二)规划阶段.................................................................................................................... - 2 (三)建设阶段.................................................................................................................... - 2 (四)运行阶段.................................................................................................................... - 3 二、政务信息系统密码应用措施指南........................................................................................- 3 (一)总体要求.................................................................................................................... - 4 (二)物理和环境安全........................................................................................................- 4 (三)网络和通信安全........................................................................................................- 5 (四)设备和计算安全........................................................................................................- 6 (五)应用和数据安全........................................................................................................- 7 (六)密钥管理.................................................................................................................... - 8 (七)安全管理.................................................................................................................... - 9 三、政务信息系统密码应用与安全性评估质量保障指南....................................................... - 9 (一)项目建设单位和项目使用单位................................................................................- 9 (二)系统集成单位.......................................................................................................... - 11 (三)密评机构.................................................................................................................. - 11 附录 1 政务信息系统密码应用方案模板...............................................................................- 13 - 附录 2 密码相关标准(截至 2020 年 6 月).........................................................................- 22 - 附录 3 某部机关电子公文处理系统密码应用方案示例...................................................... - 31 - I 一、政务信息系统密码应用与安全性评估实施过程指南 本章根据《国家政务信息化项目建设管理办法》(以下简称《办 法》 )和《商用密码应用安全性评估管理办法(试行) 》等相关要求, 参照 GM/T 0054-2018《信息系统密码应用基本要求》 (以下简称《基 本要求》)给出政务信息系统在规划阶段、建设阶段和运行阶段的密 码应用与安全性评估实施过程指南。 (一)过程概述 《办法》第十五条要求“项目建设单位应当落实国家密码管理有 关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码 保障系统并定期进行评估”,即政务信息系统中的密码保障系统应做 到“三同步一评估”。政务信息系统的密码应用与安全性评估贯穿于 系统的规划、建设和运行阶段,其实施过程如图 1 所示。 图 1 政务信息系统密码应用与安全性评估实施过程示意图 -1- 《办法》所指项目建设单位、使用单位、审批部门、主管部门等 承担项目规划、审批、建设和资金管理等职能部门中的密码管理机构, 应按职责做好相关项目密码应用与安全性评估工作的指导、评价、督 促,对密码应用方案、密码应用安全性评估报告(以下简称“密评报 告”)及相关工作质量进行把关,对密码应用、密码保障系统建设、 密评实施、整改时限等提出要求,向相关主责部门提出工作建议,有 关情况及时向国家密码管理部门报告。国家密码管理部门将建立完善 国家政务信息系统密码应用信息库,对国家政务信息系统密码应用及 其密评情况实施台账管理。 (二)规划阶段 在政务信息系统规划阶段,项目建设单位分析系统现状,对系统 面临的安全风险和风险控制需求进行分析,明确密码应用需求,根据 系统的网络安全保护等级,依据《基本要求》等相关标准,参照政务 信息系统密码应用方案模板(见附录 1),编制政务信息系统密码应 用方案,从《商用密码应用安全性评估试点机构目录》(可通过访问 “国家密码管理局官方网站-通知公告-国家密码管理局第 40 号公告” 获取)中选择商用密码应用安全性评估机构(以下简称“密评机构” ) 进行商用密码应

pdf文档 密码学会 政务信息系统密码应用与安全性评估 工作指南-2020

文档预览
中文文档 66 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共66页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
密码学会 政务信息系统密码应用与安全性评估 工作指南-2020 第 1 页 密码学会 政务信息系统密码应用与安全性评估 工作指南-2020 第 2 页 密码学会 政务信息系统密码应用与安全性评估 工作指南-2020 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-08-16 03:30:03上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言