信息系统密码应用方案评估过程指南（TGDCCA0002-2022 ）广东.docxVIP

ICS 35.040 L 80 备案号： 广东省密码团体标准 T/GDCCA 0002-2022 信息系统密码应用方案评估 过程指南 Evaluation Process Guide for Information System Cryptography Application Scheme 2022-05-19发布 2022-06-01实施 广东省商用密码协会 发布 T/GDCCA 0002-2022 PAGE \* Arabic 2 / 2 T/GDCCA 0002-2022 PAGE \* Arabic 1 / NUMPAGES \* Arabic 23 目 次 TOC \o 1-3 \h \z \u 前 言 1 引 言 1 1 范围 2 2 规范性引用文件 2 3 术语和定义 2 4 总体要求 4 4.1 基本原则 4 4.2 4.2方案评估方要求 4 4.3 4.3信息泄露风险规避 4 4.4 4.4方案评估过程 4 5 评估准备 6 5.1 工作内容 6 5.2 主要任务 6 5.2.1 项目启动 6 5.2.2 信息收集 6 5.3 输入输出物 7 6 评估修正 7 6.1 工作内容 7 6.2 主要任务 7 6.2.1 评估方案 7 6.2.2 修正方案 8 6.2.3 确认方案 8 6.3 输入输出物 9 7 安全性审查 9 7.1 工作内容 9 7.2 主要任务 9 7.3 输入输出物 10 8 报告编制 10 8.1 工作内容 10 8.2 主要任务 10 8.2.1 编写报告 10 8.2.2 确认报告 11 8.2.3 审核报告 11 8.2.4 输出报告 11 8.3 输入输出物 12 9 方案变更评估 12 9.1 工作内容 12 9.2 主要任务 13 9.2.1 确定变更内容 13 9.2.2 出具评估意见 13 9.2.3 输入输出物 14 附录A（规范性）方案评估要求 15 附录B（资料性）系统基本信息表 16 附录C（资料性）问题记录表 17 附录D（资料性）密码应用方案变更评估文件 18 参 考 文 献 19 T/GDCCA 0002-2022 PAGE \* Arabic 18 /19 前 言 本文件根据GB/T1.1-2020给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由广东省商用密码协会（T/GDCCA）提出并归口。 本文件起草单位：广州竞远安全技术股份有限公司、深圳市网安计算机安全检测技术有限公司、工业和信息化部电子第五研究所、鼎铉商用密码测评技术(深圳)有限公司、北京数字认证股份有限公司、信安神州科技（广州）有限公司、华南农业大学。 本文件主要起草人：王正临、梁承东、薛涛、艾志娟、胡之斐、刘江、谭波、黄琼、葛强、洪跃腾、唐启楠、高锐、尤博、陈磊、孙少波。 本文件及其所代替文件的历次版本发布情况为： 本文件首次发布。 引 言 密码应用方案评估目前缺少完整的指导性文件，在流程、方法、专家评审等方面急需一份过程指南。 本文件的制定参考了广东省省级政务信息化项目商用密码应用工作指引提出的推进省级政务信息化项目密码应用工作要求。 本文件的制定参考了行业内密码应用方案评估的总体流程和活动，因此该文件对不同商用密码测评组织开展密码应用方案评估具有兼容性和指导性作用。 本文件的制定基于密码法、GB/T39786-2021、GM/T0115-2021、GM/T0116-2021等相关法律法规和标准规范，对密码应用方案评估过程中涉及的活动、流程、阶段性输入输出物等进行了明确的定义，是一类规范性标准文件。 信息系统密码应用方案评估过程指南 范围 本文件规范了信息系统密码应用方案的评估过程、评估活动的工作内容及主要工作任务。 本文件适用于信息系统密码应用方案评估方开展密码应用方案评估工作。 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。 GB/T39786-2021信息安全技术信息系统密码应用基本要求 T/GDCCA0001-2022信息系统密码应用方案评估要点 商用密码应用安全性评估报告模板（2021版）-方案密评报告