电子政务系统商密应用安全性评估中数据安全测评规范.docxVIP

1

电子政务系统商密应用安全性评估中数据安全测评规范

1范围

本文件规定了电子政务系统商用密码应用安全性评估中数据安全的检测要求与评估方法。

本文件适用于规范监管部门、第三方评估机构在电子政务系统商用密码应用安全性评估中数据安全监督、管理与测评，为电子政务数据安全保护工作提供支撑与参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T39786-2021信息安全技术信息系统密码应用基本要求

GB/T信息安全技术网络数据分类分级要求（征求意见稿）

GM/Z4001密码术语

GM/T0028密码模块安全技术要求

GM/T0039密码模块安全检测要求

GM/T0115-2021信息系统密码应用测评要求

GM/T0116-2021信息系统密码应用测评过程指南

3术语和定义

GB/T25069信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

GB/T40692-2021政务信息系统

GM/Z4001密码术语

上述标准定义和范围界定的以及下列术语和定义适用于本文件。

3.1

电子政务系统e-governancesystem

电子政务系统是由政务部门建设、运行或使用的,用于直接支持政务部门工作或履行其职能的各类信息系统。

3.2

密码测评cryptographicevaluation

按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

3.3

电子政务数据e-governancedata

由政务部门或为政务部门采集、存储、加工、使用、处理等的信息资源。

注:政务信息资源包括:政务部门依法采集的信息资源;政务部门在履行职能过程中产生和生成的信息资源;政务部门投资建设和外购服务获取的信息资源;政务部门依法授权管理的信息资源。

2

3.4

收集acquisition

通过电子政务系统采集、人工填写、交易购买、共享交换等方式获取数据的行为。3.5

存储storage

电子政务数据以某种格式记录在计算机内部或外部存储介质上的行为。

3.6

使用加工processing

通过对电子政务数据进行数据挖掘、分析、加工等活动，获取目的结果的行为。3.7

传输transmission

电子政务数据从一个系统、设备、平台、企业传送到另一个系统、设备、平台、企业的通信过程。3.8

提供provide

电子政务数据处理者向其他数据处理者提供数据，或将电子政务数据处理权由一个处理者向另一个处理者转移，且双方分别对数据拥有独立处理权的过程。

3.9

公开publicdisclosure

将电子政务数据向社会或不特定人群公开发布的行为。

3.10

销毁destruction

将电子政务数据进行彻底删除，使其无法复原的过程。

3.11

数据全生命周期datalifecycle

数据收集、存储、使用加工、传输、提供、公开等各环节数据处理活动。

3.12

数据处理者dataprocessor

对电子政务数据进行收集、存储、使用加工、传输、提供、公开等数据处理活动的组织。

4缩略语

下列缩略语适用于本文件。

a)IP：互联网协议（InternetProtocol）。

b)MAC：媒体访问控制（MediumAccessControl）。

c)IMSI：国际移动用户识别码（InternationalMobileSubscriberIdentificationNumber）。d)IMSI：国际移动设备识别码（InternationalMobileEquipmentIdentity）。

5电子政务系统商密应用安全性评估中数据安全总体框架

5.1概述

电子政务系统通过密码技术保障数据的机密性、完整性、真实性和敏感性，建立建全分类分级、组织保障、人员管理和安全评估，提升数据采集、数据传输、数据存储、数据处理、数据交换、数据清除等数据生命周期中的安全保障能力。电子政务系统商密应用安全性评估中数据安全总体框架如图1所示。

3

图1电子政务系统商密应用安全性评估中数据安全总体框架

5.2数据安全保障能力

5.2.1概述

实施电子政务系统的数据分类分级管理，建立组织保障制度和运维保障规范，通过数据安全评估提升数据安全的保障能力。

5.2.2电子政务系统数据分类

参照系统运行场景和商用密码应用性安全评估规则，将