《政务“一朵云”安全管理体系规范 第3部分：密码应用安全性评估》.docVIP

DB32/TXXXX—XXXX

DB32/TXXXX—XXXX

PAGE

PAGE2

PAGE

PAGEI

江苏省市场监督管理局发布XX-XX-XX实施XX-XX-XX发布政务“一朵云”安全管理体系规范第3部分：密码应用安全性评估SecurityManagementSystemSpecificationfortheOneCloudofGovernmentAffairsPart3:Securityassessmentofcryptographyapplication

江苏省市场监督管理局发布

XX-XX-XX实施

XX-XX-XX发布

政务“一朵云”安全管理体系规范

第3部分：密码应用安全性评估

SecurityManagementSystemSpecificationfortheOneCloudofGovernmentAffairs

Part3:Securityassessmentofcryptographyapplication

（征求意见稿）

DB32/TXXXX—XXXX

DB32

江苏省地方标准

ICS25.040

L70

备案号：

PAGEII

目次

TOC\o1-3\h\z\u1范围 1

2规范性引用文件 1

3术语和定义 1

4评估框架 2

5评估指南 2

5.1规划阶段 2

5.2建设阶段 4

5.3运行阶段 6

5.3.1方案评估 6

5.3.2系统评估 6

6评估结果 6

6.1结果应用 6

6.2结果备案 6

附录A 7

附录B 8

参考文献 9

前言

本文件依据GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》编写。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由江苏省数字政府标准化技术委员会提出并归口。

本文件起草单位：江苏省大数据管理中心。

本文件主要起草人：吴中东、忻超、黄敏、刘尧、杨扬、王文娟、刘鑫、蔡一凡、谷和启。

引言

为加强统筹规划，全面提升全省政务云服务能力和安全运行水平，促进政务信息基础设施建设可持续发展，根据《省政府关于加快统筹推进数字政府高质量建设的实施意见》（苏政发〔2022〕44号）《江苏省政务“一朵云”建设总体方案》（苏政发〔2023〕36号）的要求，建立健全全省政务“一朵云”安全保障体系，提升安全防护能力，制定本标准。

本文件基于全省政务“一朵云”安全架构，建立健全安全管理体系、主动防护能力、安全合规评估和安全运维保障四位一体的立体纵深安全防护体系，达到管理可执行、技术可落地、合规可监管、安全可运维。拟由3个部分组成：

——第1部分：安全运行监测。

——第2部分：密码应用技术要求。

——第3部分：密码应用安全性评估。

PAGE9

政务“一朵云”安全管理体系规范

第3部分：密码应用安全性评估

1范围

本文件给出了政务云密码应用安全性评估框架，以及评估相关的阶段、类型、对象、依据、流程、内容、输出成果和参与主体。

本文件适用于指导政务云运行管理机构开展商用密码应用安全性评估工作，也可以作为政务云使用单位开展信息系统密码应用建设的参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T37092-2018信息安全技术密码模块安全要求

GB/T39786-2021信息安全技术信息系统密码应用基本要求

GB/T43206-2023信息安全技术信息系统密码应用测评要求

GB/T43207-2023信息安全技术信息系统密码应用设计指南

GM/T0116-2021信息系统密码应用测评过程指南

3术语和定义

GB/T25069-2022和\o密码术语GM/Z0001-2013界定的以及下列术语和定义适用于本文件。

3.1

政务云governmentcloud

运用云计算技术，统筹利用机房、计算、存储、网络、安全、应用支撑等软硬件设备，发挥云计算虚拟化、高可靠性、高通用性、高可扩展性及快速、按需、弹性服务等特征，为政府领域信息系统提供基础设施、支撑软件、运行保障和信息安全等综合服务平台。