DB32T 5073.3-2025 政务“一朵云”安全管理体系规范 第3部分：密码应用安全性评估.docxVIP

ICS25.040

CCSL70

江 苏 省 地 方 标 准

DB32/T5073.3—2025

政务“一朵云”安全管理体系规范第3部分：密码应用安全性评估

Securitymanagementsystemspecificationforthe“cloud”ofgovernmentaffairs—Part3：securityassessmentofcryptographyapplication

2025?02?21发布 2025?03?21实施

江苏省市场监督管理局 发布

中 国 标 准 出 版 社 出版

DB32/T5073.3—2025

目 次

前言 Ⅲ

引言 Ⅳ

范围 1

规范性引用文件 1

术语和定义 1

总体要求 2

评估指南 3

结果应用 6

附录A（资料性）主要技术要求解决方法 8

附录B（资料性）密钥管理要求 9

参考文献 10

Ⅰ

DB32/T5073.3—2025

前 言

本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是DB32/T5073《政务“一朵云”安全管理体系规范》的第3部分。DB32/T5073已经发布了以下部分：

——第1部分：安全运行监测；

——第2部分：密码应用技术要求；

——第3部分：密码应用安全性评估。

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由江苏省数据局提出并组织实施。

本文件由江苏省数据标准化技术委员会（JS/TC88）归口。本文件起草单位：江苏省大数据管理中心。

本文件主要起草人：吴中东、忻超、黄敏、刘尧、杨扬、王文娟、刘鑫、蔡一凡、谷和启、张腾标、卢秋如、任明聪、衡帅。

Ⅲ

DB32/T5073.3—2025

引 言

为加强统筹规划，全面提升全省政务云服务能力和安全运行水平，促进政务信息基础设施建设可持续发展，根据《省政府关于加快统筹推进数字政府高质量建设的实施意见》（苏政发〔2022〕44号）、《江苏省政务“一朵云”建设总体方案》（苏政发〔2023〕36号）的要求，建立健全全省政务“一朵云”安全保障体系，提升安全防护能力，制定本文件。

DB32/T5073《政务“一朵云”安全管理体系规范》分为以下3个部分：

——第1部分：安全运行监测；

——第2部分：密码应用技术要求；

——第3部分：密码应用安全性评估。

Ⅳ

DB32/T5073.3—2025

政务“一朵云”安全管理体系规范第3部分：密码应用安全性评估

范围

本文件给出了政务云密码应用安全性评估总体要求，以及评估相关的阶段、类型、对象、依据、流程、内容、输出成果和参与主体。

本文件适用于政务云运行管理单位、政务云使用单位开展信息系统密码应用建设和商用密码应用安全性评估工作。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22240—2020

信息安全技术

网络安全等级保护定级指南

GB/T37092—2018

信息安全技术

密码模块安全要求

GB/T39786—2021

信息安全技术

信息系统密码应用基本要求

GB/T43206—2023

信息安全技术

信息系统密码应用测评要求

GB/T43207—2023

信息安全技术

信息系统密码应用设计指南

GM/T0116—2021 信息系统密码应用测评过程指南

GM/T0094—2020 公钥密码应用技术体系框架规范

术语和定义

3.1

GB/T25069—2022和GM/Z0001—2013界定的以及下列术语和定义适用于本文件。

政务云 e?governmentcloud

运用云计算技术，统筹利用机房、计算、存储、网络、安全、应用支撑等软硬件设备，发挥云计算虚拟

化、高可靠性、通用性、高扩展性以及快速、按需、弹性的服务等特征，为政务信息系统提供基础设施、支撑软件、运行保障和信息安全等的综合服务平台。

注：用“机房、计算、存储、网络、安全、应用支撑等软硬件设备”取代“机房资源、计算资源、存储资源、网络资源、信息资源、应用支撑等资源”，用“为政务信息系统提供基础设施、支撑软件、运行保障和信息安全等的综合服务平台”取代“为各政务部门构建提供基础设施、支撑软件、应用系统、信息资源、运行保障和信息安全等服务的电子政务综合性服务平台”。

［来源：GB/T34078.1—2017，2.1，有修改］

3.2

政务“一朵云”the“cloud”of