GM/T 0116-2021信息系統(tǒng)密碼應(yīng)用測評過程指南

ICS35040

CCSL.80

中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)

GM/T0116—2021

信息系統(tǒng)密碼應(yīng)用測評過程指南

Testingandevaluationprocessguideforinformationsystem

cryptographyapplication

2021-10-19發(fā)布2022-05-01實(shí)施

國家密碼管理局發(fā)布

GM/T0116—2021

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………1

基本原則

4.1……………1

測評風(fēng)險(xiǎn)識別

4.2………………………2

測評風(fēng)險(xiǎn)規(guī)避

4.3………………………2

測評過程

4.4……………3

測評過程概述

4.4.1…………………3

測評準(zhǔn)備活動

4.4.2…………………3

方案編制活動

4.4.3…………………3

現(xiàn)場測評活動

4.4.4…………………4

分析與報(bào)告編制活動

4.4.5…………4

測評準(zhǔn)備活動

5……………4

測評準(zhǔn)備活動的工作流程

5.1…………4

測評準(zhǔn)備活動的主要任務(wù)

5.2…………4

項(xiàng)目啟動

5.2.1………………………4

信息收集和分析

5.2.2………………4

測評準(zhǔn)備活動的輸出文檔

5.3…………5

方案編制活動

6……………5

方案編制活動的工作流程

6.1…………5

方案編制活動的主要任務(wù)

6.2…………6

測評對象確定

6.2.1…………………6

測評指標(biāo)確定

6.2.2…………………6

測評檢查點(diǎn)確定

6.2.3………………7

測評內(nèi)容確定

6.2.4…………………7

密評方案編制

6.2.5…………………8

方案編制活動的輸出文檔

6.3…………8

現(xiàn)場測評活動

7……………9

現(xiàn)場測評活動的工作流程

7.1…………9

現(xiàn)場測評活動的主要任務(wù)

7.2…………9

現(xiàn)場測評準(zhǔn)備

7.2.1…………………9

現(xiàn)場測評和結(jié)果記錄

7.2.2…………9

結(jié)果確認(rèn)和資料歸還

7.2.3…………10

現(xiàn)場測評活動的輸出文檔

7.3…………10

Ⅰ

GM/T0116—2021

分析與報(bào)告編制活動

8……………………10

分析與報(bào)告編制活動的工作流程

8.1…………………10

分析與報(bào)告編制活動的主要任務(wù)

8.2…………………11

單元測評

8.2.1………………………11

整體測評

8.2.2………………………11

量化評估

8.2.3………………………12

風(fēng)險(xiǎn)分析

8.2.4………………………12

評估結(jié)論形成

8.2.5…………………12

密評報(bào)告編制

8.2.6…………………13

分析與報(bào)告編制活動的輸出文檔

8.3…………………13

Ⅱ

GM/T0116—2021

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

。

本文件起草單位國家密碼管理局商用密碼檢測中心中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心

:、、

公安部三所公安部信息安全等級保護(hù)評估中心上海交通大學(xué)中國電子科技集團(tuán)第十五研究所信

()、、(

息產(chǎn)業(yè)信息安全測評中心深圳市網(wǎng)安計(jì)算機(jī)安全檢測技術(shù)有限公司國家信息技術(shù)安全研究中心

)、、、

山東道普測評技術(shù)有限公司北京信息安全測評中心

、。

本文件主要起草人肖秋林羅鵬馬原賈世杰銀鷹鄭昉昱張立花黎水林牛瑩姣劉健楊宏志

:、、、、、、、、、、、

吳冬宇張曉溪陳亞男

、、。

Ⅲ

GM/T0116—2021

信息系統(tǒng)密碼應(yīng)用測評過程指南

1范圍

本文件規(guī)定了信息系統(tǒng)密碼應(yīng)用的測評過程規(guī)范了測評活動及其工作任務(wù)

,。

本文件適用于商用密碼應(yīng)用安全性評估機(jī)構(gòu)信息系統(tǒng)責(zé)任單位開展密碼應(yīng)用安全性評估工作

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息系統(tǒng)密碼應(yīng)用測評要求

GM/T0115

密碼術(shù)語

GM/Z4001

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010GM/Z4001。

31

.

測評方testingandevaluationagency

對信息系統(tǒng)開展密碼應(yīng)用安全性評估簡稱密評的主體

(“”)。

注具體可以是商用密碼應(yīng)用安全性評估機(jī)構(gòu)或信息系統(tǒng)責(zé)任單位

:。

32

.

被測單位agencyundertestingandevaluation

信息系統(tǒng)責(zé)任單位

。

33

.