信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求-編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)報(bào)批資料一、工作簡(jiǎn)況1、任務(wù)來(lái)源本標(biāo)準(zhǔn)由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)下達(dá)的國(guó)家標(biāo)準(zhǔn)編制計(jì)劃，項(xiàng)目名稱為《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（計(jì)劃號(hào)：20190902-T-469），項(xiàng)目類型為標(biāo)準(zhǔn)制定，項(xiàng)目所屬工作組為WG3工作組。本項(xiàng)目由北京數(shù)字認(rèn)證股份有限公司牽頭編制。2、標(biāo)準(zhǔn)編制的主要成員單位項(xiàng)目編制組成員單位主要包括：北京數(shù)字認(rèn)證股份有限公司、國(guó)家密碼管理局商用密碼檢測(cè)中心、中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、上海交通大學(xué)、中國(guó)金融電子化公司測(cè)評(píng)中心、公安部第三研究所（公安部信息安全等級(jí)保護(hù)評(píng)估中心）、北京信息安全測(cè)評(píng)中心、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、飛天誠(chéng)信科技股份有限公司、中國(guó)科學(xué)技術(shù)大學(xué)信息安全測(cè)評(píng)中心、深圳網(wǎng)安計(jì)算機(jī)安全檢測(cè)技術(shù)有限公司、山東計(jì)算中心（國(guó)家超級(jí)計(jì)算濟(jì)南中心）、中國(guó)電子科技集團(tuán)公司第十五研究所（信息產(chǎn)業(yè)測(cè)評(píng)中心）、北京電子科技學(xué)院、北京三未信安科技發(fā)展有限公司等。3、主要工作過(guò)程2018年4月，信安標(biāo)委2018年第一次工作組武漢會(huì)議周，在WG3工作組會(huì)議上，向?qū)＜液凸ぷ鹘M其他成員單位匯報(bào)了《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（投票草案稿）工作情況，并聽(tīng)取專家及工作組其他成員單位的意見(jiàn)，WG3專家及成員工作組成員單位同意該標(biāo)準(zhǔn)立項(xiàng)。2018年5月-7月，《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》項(xiàng)目牽頭單位組織項(xiàng)目組成員單位對(duì)草案稿進(jìn)行研討與進(jìn)一步修改完善，并在2018年7月27日項(xiàng)目立項(xiàng)研討會(huì)上進(jìn)行充分溝通與討論，形成新標(biāo)準(zhǔn)草案，提交WG3工作組。2018年9月26日，《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》項(xiàng)目組在WG3組及國(guó)家密碼管理局應(yīng)用推進(jìn)處的協(xié)助下，向全國(guó)27家檢測(cè)中心單位進(jìn)行匯報(bào)并廣泛征求意見(jiàn)。2018年9月-10月編制組根據(jù)27家檢測(cè)中心單位的意見(jiàn)，對(duì)標(biāo)準(zhǔn)進(jìn)行了多次的內(nèi)容的研討，將身份鑒別、訪問(wèn)控制、數(shù)據(jù)完整性等部分不適用條款進(jìn)行調(diào)整與修改。2018年10月17號(hào)在國(guó)家密管理局召開(kāi)了WG3組內(nèi)密碼專家征求意見(jiàn)會(huì)。會(huì)后根據(jù)專家的意見(jiàn)，重新調(diào)整標(biāo)準(zhǔn)的密碼模塊、密鑰管理相關(guān)要求與定義，以及標(biāo)準(zhǔn)的整體框架結(jié)構(gòu)。并于2018年信安標(biāo)委青島會(huì)議周WG3組內(nèi)進(jìn)行匯報(bào)與研討。2018年11月，根據(jù)青島會(huì)議周專家意見(jiàn)對(duì)標(biāo)準(zhǔn)的密鑰管理等內(nèi)容進(jìn)行調(diào)整，并于2018年11月9日，召開(kāi)編制組及專家研討會(huì)，邀請(qǐng)了等保2.0主要編制人員、國(guó)內(nèi)密碼專家、國(guó)密局相關(guān)專家，會(huì)上大家從標(biāo)準(zhǔn)的合規(guī)性、安全性、可用性出發(fā)，對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行研討與調(diào)整。2018年11月-2019年1月，標(biāo)準(zhǔn)牽頭單位在WG3組及國(guó)家密碼管理局的協(xié)助下，先后與教育部，北京市密碼測(cè)評(píng)中心、山東省測(cè)評(píng)中心、上海交通大學(xué)等多家密評(píng)檢測(cè)單位進(jìn)行了深入的實(shí)地的密評(píng)工作討論與調(diào)研，進(jìn)行標(biāo)準(zhǔn)推廣與驗(yàn)證。2019年1月3日第二次對(duì)各商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)征求意見(jiàn)。并于2019年2月28日在北京應(yīng)物會(huì)議中心對(duì)標(biāo)準(zhǔn)的層次結(jié)構(gòu)、管理制度等進(jìn)行了研討，會(huì)后對(duì)標(biāo)準(zhǔn)進(jìn)行了進(jìn)一步修改。2019年4月11日，WG3組召集專家對(duì)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行研討，項(xiàng)目組聽(tīng)取專家及工作組其他成員單位的意見(jiàn)，將密鑰管理要求放入“管理制度中”，技術(shù)部分以資料性附錄形式放在附錄。2019年4月23日，信安標(biāo)委寧波會(huì)議周上，牽頭單位對(duì)標(biāo)準(zhǔn)進(jìn)行了匯報(bào)與研討，WG3組成員單位代表及專家同意標(biāo)準(zhǔn)進(jìn)入征求意見(jiàn)階段。2019年5月30號(hào)前需提交征求意見(jiàn)稿及相關(guān)文檔。編制組根據(jù)WG3組專家及成員單位的意見(jiàn)與建議對(duì)標(biāo)準(zhǔn)進(jìn)行了修訂，并于2019年5月17日對(duì)修改完善后的標(biāo)準(zhǔn)進(jìn)行了組內(nèi)審議，形成征求意見(jiàn)稿。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題1、編制原則本標(biāo)準(zhǔn)的編制原則是：安全性，合規(guī)性，可用性合規(guī)性：本規(guī)范立足于當(dāng)前國(guó)內(nèi)信息系統(tǒng)安全的實(shí)際狀況，在密鑰管理、密碼技術(shù)應(yīng)用管理、安全管理等方面，在保障安全性的前提下，均遵行國(guó)家遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)及國(guó)內(nèi)通行做法。安全性：本標(biāo)準(zhǔn)對(duì)信息系統(tǒng)密碼應(yīng)用基本要求進(jìn)行設(shè)計(jì)，從根本上保障了信息系統(tǒng)密碼應(yīng)用的安全性。本標(biāo)準(zhǔn)分別從系統(tǒng)技術(shù)、密鑰管理、安全管理等多角度、全方位地提出了應(yīng)用密碼的基本要求?？捎眯裕嚎捎糜谥笇?dǎo)、規(guī)范和評(píng)估信息系統(tǒng)中的商用密碼應(yīng)用，對(duì)網(wǎng)絡(luò)和信息的用戶單位、建設(shè)單位、測(cè)評(píng)單位及管理部門均可用于指導(dǎo)、規(guī)范和評(píng)估信息系統(tǒng)密碼合規(guī)、正確、有效地應(yīng)用。2、確定主要內(nèi)容的依據(jù)本標(biāo)準(zhǔn)制定參考以下國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)：GB/T22239--2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T37092—2018信息安全技術(shù)密碼模塊安全要求GM/Z4001--2013密碼術(shù)語(yǔ)3、解決的主要問(wèn)題隨著我國(guó)信息系統(tǒng)在我國(guó)政務(wù)、金融、能源、醫(yī)療等關(guān)乎國(guó)計(jì)民生的各個(gè)領(lǐng)域中的廣泛使用與推廣，現(xiàn)急需制定符合《信息系統(tǒng)密碼應(yīng)用基本要求》的合規(guī)、安全、可用的信息系統(tǒng)中密碼技術(shù)規(guī)范與標(biāo)準(zhǔn)，增加信息系統(tǒng)密碼應(yīng)用的合規(guī)性、安全性與可用性，實(shí)現(xiàn)可用、合規(guī)的要求，引導(dǎo)整個(gè)信息系統(tǒng)密碼應(yīng)用的健康有序發(fā)展，為我國(guó)的經(jīng)濟(jì)與社會(huì)高速持續(xù)發(fā)展護(hù)航。三、主要試驗(yàn)情況分析暫無(wú)。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明本標(biāo)準(zhǔn)不涉及專利及知識(shí)產(chǎn)權(quán)問(wèn)題。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果該標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)密碼應(yīng)用的基本要求，從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)層面提出了第一級(jí)到第四級(jí)的密碼應(yīng)用技術(shù)要求，并從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置四個(gè)方面提出了第一級(jí)到第四級(jí)的密碼應(yīng)用安全管理要求，《信息系統(tǒng)密碼應(yīng)用基本要求》行業(yè)標(biāo)準(zhǔn)已于2018年5月28日發(fā)布。應(yīng)用于金融、醫(yī)療、政務(wù)等重要領(lǐng)域及產(chǎn)業(yè)中，其標(biāo)準(zhǔn)具有基礎(chǔ)性、普適性，對(duì)建立一個(gè)科學(xué)、合理、統(tǒng)一的信息系統(tǒng)密碼應(yīng)用要求具有十分重要的意義。編制組按照全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)要求開(kāi)展國(guó)標(biāo)的編制任務(wù)。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況無(wú)。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)具有一致性。八、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)無(wú)。九、標(biāo)準(zhǔn)性質(zhì)的建議建議作為國(guó)家推薦性標(biāo)準(zhǔn)發(fā)布。十、貫徹標(biāo)準(zhǔn)的要求和措施建議本標(biāo)準(zhǔn)的基礎(chǔ)來(lái)自于密碼行業(yè)標(biāo)準(zhǔn)，已經(jīng)是密碼行業(yè)的共性基礎(chǔ)標(biāo)準(zhǔn)，具備一定的產(chǎn)業(yè)基礎(chǔ)和技術(shù)基礎(chǔ)，本標(biāo)準(zhǔn)適用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用規(guī)劃、建設(shè)和運(yùn)行，是信息系統(tǒng)密碼應(yīng)用急需標(biāo)準(zhǔn)，希望盡快發(fā)布。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議無(wú)。十二、其它應(yīng)予說(shuō)明的事項(xiàng)無(wú)。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（征求意見(jiàn)稿）編制說(shuō)明