《商用密码应用安全性评估测评实施指引》.pdf

商用密码应用安全性评估

测评实施指引

中国密码学会密评联委会

二〇二四年十一月

目次

前言III

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5概述2

5.1测评实施原则2

5.2测评方式3

5.3测评实施规则4

6密评测评实施总体框架4

7通用测评实施指引6

7.1密码使用有效性6

7.1.1传输机密性6

7.1.2存储机密性7

7.1.3传输完整性8

7.1.4存储完整性8

7.1.5真实性9

7.1.6不可否认性10

7.2密码算法/技术合规性11

7.2.1密码算法合规性11

7.2.2密码技术合规性12

7.3密钥管理安全13

7.3.1密码产品合规性13

7.3.2密码服务合规性14

7.3.3密钥管理安全性14

8技术测评实施指引16

8.1物理和环境安全16

8.1.1测评指标16

8.1.2测评对象16

8.1.3可能涉及到的访谈人员、文档和测评工具16

8.1.4测评实施操作说明16

8.2网络和通信安全17

8.2.1测评指标17

8.2.2测评对象17

8.2.3可能涉及到的访谈人员、文档和测评工具17

8.2.4测评实施操作说明17

8.3设备和计算安全19

8.3.1测评指标19

8.3.2测评对象19

8.3.3可能涉及到的访谈人员、文档和测评工具19

8.3.4测评实施操作说明19

I

8.4应用和数据安全21

8.4.1测评指标21

8.4.2测评对象21

8.4.3可能涉及到的访谈人员、文档和测评工具22

8.4.4测评实施操作说明22

9管理测评实施指引26

9.1管理制度26

9.1.1密码应用安全管理制度26

9.1.2密钥管理规则26

9.1.3操作规程27

9.1.4安全管理制度27

9.1.5管理制度发布流程28

9.1.6制度执行过程记录28

9.2人员管理29

9.2.1密码相关法律法规和密码管理制度29

9.2.2密码应用岗位责任制度29

9.2.3上岗人员培训制度31

9.2.4安全岗位考核31

9.2.5关键岗位人员必威体育官网网址制度32

9.3建设运行32

9.3.1密码应用方案32

9.3.2密钥安全管理策略33

9.3.3实施方案34

9.3.4投入运行前的密码应用安全性评估34

9.3.5投入运行后的密码应用安全性评估35

9.4应急处置35

9.4.1应急策略35

9.4.2事件处置36

9.4.3处置情况上报37

附录A（规范性）典型密码产品应用测评38

附录B（资料性）不同测评指标的推荐测评方式汇总表43

附录C（资料性）不同安全层面典型密码应用场景及其测评实施