TGDCCA 0001-2022《信息系统密码应用方案评估规范》

ICS 35.040 L 80 备案号：广东省密码团体标准 C C A T/GDCCA 0001-2022 信息系统密码应用方案 G D 评估规范 Evaluation Specification of Information System Cryptography Application Scheme 2022-05-19 发布广东省商用密码协会 2022-06-01 实施发布 A C C G D T/GDCCA 0001-2022 目次 G D C C A 前言 ................................................................................. II 引言 ................................................................................ IV 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语 ............................................................................. 1 5 概述 ............................................................................... 2 6 方法 ............................................................................... 2 6.1 审核方法 ....................................................................... 2 6.2 指标评估方法 ................................................................... 2 6.3 初步量化评估方法 ............................................................... 3 6.4 评估结论判定方法 ............................................................... 3 7 形式审核 ........................................................................... 3 7.1 内容完整性 ..................................................................... 3 7.2 内容一致性 ..................................................................... 4 7.3 文本规范性 ..................................................................... 4 8 实质审核 ........................................................................... 4 8.1 密码应用现状 ................................................................... 4 8.2 密码应用保护对象 ............................................................... 5 8.3 密码应用需求及控制措施 ......................................................... 5 8.4 实施保障措施 ................................................................... 5 9 指标评估 ........................................................................... 6 9.1 技术评估 ....................................................................... 6 9.2 管理评估 ...................................................................... 11 10 初步量化评估 ..................................................................... 12 11 评估结论 ......................................................................... 12 附录 A （资料性）信息系统密码应用方案编制指引 ........................................13 附录 B （资料性）高风险项参考表 ......................................................15 参考文献 ...................................................................... 17 I T/GDCCA 0001-2022 前言本文件根据GB/T 1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 G D C C A 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由广东省商用密码协会（T/GDCCA）提出并归口。本文件起草单位：深圳市网安计算机安全检测技术有限公司、广州竞远安全技术股份有限公司、工业和信息化部电子第五研究所、鼎铉商用密码测评技术(深圳)有限公司、北京数字认证股份有限公司、信安神州科技（广州）有限公司、华测检测认证集团股份有限公司、腾讯科技（深圳）有限公司、北京数盾信息科技有限公司、北京海泰方圆科技股份有限公司。本文件主要起草人：薛涛、洪跃腾、王正临、艾志娟、胡之斐、唐启楠、孙少波、谭波、梁承东、刘江、高锐、尤博、陈磊、葛强、彭洁瑶、张世栋、朱永进、李莲、谢灿、钟博、杨勇、付庆龙。本文件及其代替文件的历次版本发布情况为：本文件首次发布。 II G D C C A T/GDCCA 0001-2022 III T/GDCCA 0001-2022 引言 G D C C A 本文件依据 GB/T 39786-2021，在 GM/T 0115-2021 基础上，结合广东省信息系统密码应用方案评估工作实际，提出了密码应用方案评估要点，用于统一密码应用方案评估标准，规范实施密码应用方案评估工作。 IV T/GDCCA 0001-2022 信息系统密码应用方案评估规范 1 范围本文件规定了信息系统密码应用方案评估的方法及要点。适用于指导、规范密码应用方案评估方对密码应用方案开展评估工作。 2 规范性引用文件 3 C A 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 39786-2021 信息安全技术信息系统密码应用基本要求 GM/T 0115-2021 信息系统密码应用测评要求《商用密码应用安全性评估量化评估规则》（中国密码学会密评联委会 2021年12月）术语和定义 GM/Z 4001-2013中界定的以及下列术语和定义适用于本文件。 evaluation for cryptography application scheme D 密码应用方案评估 C 3.1 方案评估方 G 方案评估方对信息系统密码应用方案开展审查，给出建议，并出具相关报告的过程。以下简称“方案评估”。 3.2 organization of scheme evaluation 接受委托单位委托，实施方案评估的机构或团体，包括商用密码安全性评估机构和信息系统责任单位自行或者委托组织的专家组。 3.3 方案编制方 organization of scheme compilation 信息系统密码应用方案编制单位，负责方案的编写和修正工作。 3.4 密码应用方案评估人员 evaluator of cryptography application scheme 信息系统密码应用方案评估方参与方案评估活动的实施人员。 4 缩略语下列缩略语适用于本文件。 A：密码算法/技术合规性（Cryptography Algorithm/Technique compliance） 1 T/GDCCA 0001-2022 D：密码使用有效性（Cryptography Deployment effectiveness） K：密钥管理安全（Key management security） 5 概述本文件将信息系统密码应用方案评估分为形式审核、实质审核、指标评估、初步量化评估、结论判定等活动。对于形式审核、实质审核给出审核对象、审核实施和结果判定。对于指标评估给出每个活动的保护对象、评估对象、评估指标、评估实施和结果判定的相关要求。本文件第 7 章形式审核要点的内容和第 8 章实质审核要点内容是进行指标评估前的必备内容，用于保证信息系统密码应用方案具备基本评估条件。资料性附录 A 信息系统密码应用方案编制指引供第 7 章形式审核实施参考。资料性附录 B 高风险项参考表