DB3404_T 8-2023 商用密码应用安全性评估服务指南.docxVIP

? 8?—?DB??FORMTEXT?3404/T FORMTEXT?? ??FORMTEXT ? 8?—? 商用密码安全性评估服务指南 1?范围 本文件规定了淮南市商用密码应用安全性评估服务的术语和定义、服务对象、评估内容、服务流程 和密码应用措施。 本文件适用于指导、规范淮南市信息系统商用密码应用的规划、建设、运维及测评。 2?规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本 文件。 GB/T?37033-2018??信息安全技术?射频识别系统密码应用技术要求 GB/T?39786-2021??信息安全技术?信息系统密码应用基本要求 GM/T?0022-2014??IPSec?VPN?技术规范 GM/T?0023-2014??IPSec?VPN?网关产品规范 GM/T?0024-2014??SSL?VPN?技术规范 GM/T?0025-2014??SSL?VPN?网关产品规范 GM/T?0036-2014??采用非接触卡的门禁系统密码应用技术指南 GM/T?0054-2018??信息系统密码应用基本要求 GM/Z?0001-2013??密码术语 中国密码学会密评联委会《商用密码应用安全性评估报告模板（2021年版）》 3?术语和定义 GM/T0054-2018、GB/T?39786-2021、GM/Z0001-2013界定的以及下列术语和定义适用于本文件。 评估服务 在采用商用密码技术、产品和服务集成建设网络和信息系统中，对其密码应用的合规性、正确性、 有效性等进行的评估服务。 商密委员会专家 1 ? 8?—?DB??FORMTEXT?3404/T FORMTEXT?? ??FORMTEXT? ? 8?—? 在密码领域、学科具有较深造诣，并在区域内享有较高知名度的专业技术带头人、学者，归口淮南 市密码专家咨询委员会。 服务商 为用户单位提供信息系统中商用密码设备部署、系统集成总体解决方案的服务提供商。 3.4 商用密码咨询机构 为用户单位提供信息系统中商用密码合规方案设计服务的第三方咨询机构，其中：方案设计人员应 具有计算机高级工程师职称和注册信息安全工程师资质。 3.5 测评服务机构 国家密码管理局公布的商用密码应用安全性评估试点机构。 4?服务对象 基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务 的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。具体包括： ——基础信息网络：电信网、广播电视网、互联网。 ——重要信息系统：能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国 计民生和基础信息资源的重要信息系统。 ——重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通 运输、水利枢纽、城市设施等重要工业控制系统。 ——面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面 向社会服务的信息系统。 ——规定范围之外的其他网络和信息系统，其责任单位可以自愿开展商用密码应用安全性评估。 5?评估内容 合规性评估 判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、 行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构 认证合格。 正确性评估 判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确，即系统中采用的标准密码算 法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现，自定义密码协议、 密钥管理机制的设计和实现是否正确，安全性是否满足要求，密码保障系统建设或改造过程中密码产品 和服务的部署和应用是否正确。 2 ? 8?—?DB??FORMTEXT?3404/T FORMTEXT?? ??FORMTEXT?2023 ? 8?—? 有效性评估 判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息 系统的安全需求，是否切实解决了信息系统面临的安全问题。 6?服务流程 方案编制 对于新建、改造信息系统，密码应用建设（改造）方案（以下简称：《密码应用方案》）一般由项 目建设单位自行或委托商用密码咨询机构编写，包括：《密码应用解决方案》、《实施方案》和《应急 处置方案》。 方案评审 用户单位编写《密码应用方案》后，自行或委托商用密码咨询机构组织商密委员会专家对方案进行 评审，确保信息系统依据通过专家评审的《密码应用方案》同步建设密码保障系统。 方案应用 涉及市级财政资金建设的等保三级以上信息系统，需向市级数据资源主