TGDCCA 0002-2022《信息系统密码应用方案评估过程指南》

ICS 35.040 L 80 备案号：广东省密码团体标准 C A T/GDCCA 0002-2022 信息系统密码应用方案评估 C 过程指南 D Evaluation Process Guide for Information System Cryptography G Application Scheme 2022-05-19 发布广东省商用密码协会 2022-06-01 实施发布 C A C D G T/GDCCA 0002-2022 目次 G D C C A 前言 .................................................................... II 引言 ................................................................... III 1 范围 .................................................................. 1 2 规范性引用文件 ........................................................ 1 3 术语和定义 ............................................................. 1 4 总体要求 .............................................................. 2 4.1 基本原则 ........................................................ 2 4.2 方案评估方要求 .................................................. 2 4.3 信息泄露风险规避 ................................................ 2 4.4 方案评估过程 .................................................... 2 5 评估准备 .............................................................. 3 5.1 工作内容 ........................................................ 3 5.2 主要任务 ........................................................ 3 5.3 输入输出物 ...................................................... 3 6 评估修正 .............................................................. 4 6.1 工作内容 ........................................................ 4 6.2 主要任务 ........................................................ 4 6.3 输入输出物 ...................................................... 5 7 安全性审查 ............................................................ 5 7.1 工作内容 ........................................................ 5 7.2 主要任务 ........................................................ 5 7.3 输入输出物 ...................................................... 5 8 报告编制 .............................................................. 5 8.1 工作内容 ........................................................ 5 8.2 主要任务 ........................................................ 6 8.3 输入输出物 ...................................................... 6 9 方案变更评估 .......................................................... 7 9.1 工作内容 ........................................................ 7 9.2 主要任务 ........................................................ 7 9.3 输入输出物 ...................................................... 8 附录 A .............................................................. 9 附录 B ............................................................. 10 附录 C ............................................................. 11 附录 D ............................................................. 12 参考文献 ........................................................ 13 I T/GDCCA 0002-2022 前言 G D C C A 本文件根据 GB/T 1.1-2020 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由广东省商用密码协会（T/GDCCA）提出并归口。本文件起草单位：广州竞远安全技术股份有限公司、深圳市网安计算机安全检测技术有限公司、工业和信息化部电子第五研究所、鼎铉商用密码测评技术(深圳)有限公司、北京数字认证股份有限公司、信安神州科技（广州）有限公司、华南农业大学。本文件主要起草人：王正临、梁承东、薛涛、艾志娟、胡之斐、刘江、谭波、黄琼、葛强、洪跃腾、唐启楠、高锐、尤博、陈磊、孙少波。本文件及其所代替文件的历次版本发布情况为：本文件首次发布。 II T/GDCCA 0002-2022 引言 G D C C A 密码应用方案评估目前缺少完整的指导性文件，在流程、方法、专家评审等方面急需一份过程指南。本文件的制定参考了广东省省级政务信息化项目商用密码应用工作指引提出的推进省级政务信息化项目密码应用工作要求。本文件的制定参考了行业内密码应用方案评估的总体流程和活动，因此该文件对不同商用密码测评组织开展密码应用方案评估具有兼容性和指导性作用。本文件的制定基于密码法、GB/T 39786-2021、GM/T 0115-2021、GM/T 0116-2021 等相关法律法规和标准规范，对密码应用方案评估过程中涉及的活动、流程、阶段性输入输出物等进行了明确的定义，是一类规范性标准文件。 III C A C D G T/GDCCA 0002-2022 信息系统密码应用方案评估过程指南 1 范围本文件规范了信息系统密码应用方案的评估过程、评估活动的工作内容及主要工作任务。本文件适用于信息系统密码应用方案评估方开展密码应用方案评估工作。 2 规范性引用文件 C A 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 39786-2021 信息安全技术信息系统密码应用基本要求 T/GDCCA 0001-2022 信息系统密码应用方案评估要点商用密码应用安全性评估报告模板（2021 版）-方案密评报告 3 术语和定义 GM/Z 4001-2013 界定的以及下列的术语和定义适用本文件。 C 3.1 G 3.2 D 密码应用方案评估 evaluation for cryptography application scheme 方案评估方对信息系统密码应用方案开展审查，给出建议，并出具相关报告的过程。以下简称“方案评估”。委托单位 entrust organization 委托方案评估方开展方案评估的单位。 3.3 方案评估方 organization of scheme evaluation 接受委托单位委托，实施方案评估的机构或团体，包括商用密码安全性评估机构和信息系统责任单位自行或者委托组织的专家组。 3.4 密码应用方案评估人员 evaluator of cryptography application scheme 方案评估方实施方案评估活动时的实施人员或专家，简称“评估人员”。 3.5 方案编制方 organization of scheme compilation 信息系统密码应用方案编制单位，负责方案的编写和修正工作。 1 T/GDCCA 0002-2022 4 4.1 总体要求基本原则评估人员对信息系统密码应用方案开展评估时，应遵循以下原则： a) 客观公正性原则方案评估过程中，评估人员应保证在符合国家密码主管部门要求及最小主观判断情形下，按照委托单位提供的方案，基于明确定义的评估方式和解释，进行方案评估活动。 b) 结果完善性原则在正确理解 GB/T 39786-2021 以及各个规范应用文件的基础之上，方案评估所产生的结果应客观反映信息系统的密码应用需求。方案评估过程和结果应基于正确的评估方法，以确保其满足要求。 4.2 方案评估方要求