DB32T-政務(wù)“一朵云”安全管理體系規(guī)范 第3部分：密碼應(yīng)用安全性評估編制說明

《政務(wù)“一朵云”安全管理體系規(guī)范第3部分：密碼應(yīng)用安全性評估》（征求意見稿）編制說明一、目的意義近年來，黨和國家高度重視密碼技術(shù)在網(wǎng)絡(luò)安全工作中的重要作用，先后發(fā)布《中華人民共和國密碼法》等多項(xiàng)法律法規(guī)以及相關(guān)政策，推進(jìn)信息系統(tǒng)密碼應(yīng)用升級改造工作。《商用密碼應(yīng)用安全性評估管理辦法（試行）》《國務(wù)院辦公廳關(guān)于印發(fā)國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法的通知》《江蘇省省級政務(wù)信息化項(xiàng)目建設(shè)管理辦法》等相關(guān)文件均指出信息系統(tǒng)密碼應(yīng)用安全性評估的必要性。政務(wù)云是數(shù)字政府建設(shè)的重要基礎(chǔ)底座，現(xiàn)有的法律、法規(guī)和政策多聚焦宏觀要求，更傾向于具體業(yè)務(wù)系統(tǒng)建設(shè)，缺少對政務(wù)云等重要基礎(chǔ)設(shè)施密碼應(yīng)用安全性評估管理的規(guī)范性指導(dǎo)，省內(nèi)各設(shè)區(qū)市政務(wù)云基礎(chǔ)設(shè)施運(yùn)行管理機(jī)構(gòu)普遍不了解政務(wù)云等基礎(chǔ)設(shè)施開展密碼應(yīng)用安全性評估的工作流程。因此，抓緊制定針對性的相關(guān)標(biāo)準(zhǔn)，規(guī)范指導(dǎo)政務(wù)云等基礎(chǔ)設(shè)施開展密碼應(yīng)用安全性評估，利用國產(chǎn)密碼技術(shù)保障政務(wù)云等基礎(chǔ)設(shè)施安全顯得尤為迫切。政務(wù)云密碼應(yīng)用安全性評估標(biāo)準(zhǔn)制定，對于提升政務(wù)信息系統(tǒng)的安全性、保障政務(wù)數(shù)據(jù)的機(jī)密性、完整性和可用性具有重要意義。密碼應(yīng)用安全性評估工作是國家對政務(wù)信息系統(tǒng)安全性提出的重要要求，標(biāo)準(zhǔn)能夠?yàn)檎?wù)云等基礎(chǔ)設(shè)施密碼應(yīng)用安全性評估建設(shè)提供明確的政策和流程指導(dǎo)，有助于增強(qiáng)政府部門合理規(guī)劃密碼安全預(yù)算，優(yōu)化運(yùn)維資源配置等。政務(wù)云等基礎(chǔ)設(shè)施密碼應(yīng)用安全性評估工作將推動(dòng)密碼技術(shù)不斷創(chuàng)新與發(fā)展，為密碼產(chǎn)業(yè)提供新的市場機(jī)遇。標(biāo)準(zhǔn)最終實(shí)施需要密碼產(chǎn)品、解決方案、檢測服務(wù)等多方面的支持，將會(huì)帶動(dòng)密碼產(chǎn)業(yè)鏈上下游企業(yè)高效協(xié)同和創(chuàng)新發(fā)展。二、任務(wù)來源本標(biāo)準(zhǔn)文件由江蘇省大數(shù)據(jù)管理中心申報(bào)。2023年8月，江蘇省市場監(jiān)督管理局發(fā)布《省市場監(jiān)管局關(guān)于下達(dá)2023年度江蘇省地方標(biāo)準(zhǔn)項(xiàng)目計(jì)劃的通知》，批準(zhǔn)《電子政務(wù)外網(wǎng)安全管理體系規(guī)范》立項(xiàng)，標(biāo)準(zhǔn)項(xiàng)目承擔(dān)單位為江蘇省大數(shù)據(jù)管理中心。標(biāo)準(zhǔn)編制啟動(dòng)后，根據(jù)新一輪機(jī)構(gòu)改革調(diào)整設(shè)置情況，聽取政府?dāng)?shù)字化轉(zhuǎn)型各方專家和設(shè)區(qū)市意見建議，進(jìn)一步明確標(biāo)準(zhǔn)制定目標(biāo)和適用范圍，增強(qiáng)標(biāo)準(zhǔn)的針對性和實(shí)操性。為使標(biāo)準(zhǔn)內(nèi)容更加準(zhǔn)確符合指導(dǎo)全省政務(wù)云安全運(yùn)行的實(shí)際定位，將標(biāo)準(zhǔn)名稱修改為《政務(wù)“一朵云”安全管理體系規(guī)范》。本次立項(xiàng)的《政務(wù)“一朵云”安全管理體系規(guī)范》共有3個(gè)部分，本標(biāo)準(zhǔn)文件是第3部分“密碼應(yīng)用安全性評估”，標(biāo)準(zhǔn)的編制周期為1年。三、編制過程本標(biāo)準(zhǔn)主要編制工作過程如下：1.成立編制組2023年6月至7月期間，江蘇省大數(shù)據(jù)管理中心牽頭標(biāo)準(zhǔn)編制組組織省內(nèi)政務(wù)云、商用密碼應(yīng)用安全性評估相關(guān)行業(yè)單位和專家召開標(biāo)準(zhǔn)編制策劃啟動(dòng)會(huì)，確定標(biāo)準(zhǔn)起草單位及專家名錄，各單位討論后確定標(biāo)準(zhǔn)大綱并明確分工任務(wù)。2.起草階段2023年8月-12月，各編制組對政務(wù)云基礎(chǔ)設(shè)施商用密碼應(yīng)用安全性評估指南進(jìn)行了全面而深入的調(diào)研和完善工作。編制期間，各編制組廣泛收集資料與業(yè)內(nèi)專家深入討論。經(jīng)過多次討論和修改，最終完成了標(biāo)準(zhǔn)草案的統(tǒng)稿工作。3.征求意見階段2024年1月-2月，標(biāo)準(zhǔn)編制組組織了專題研討會(huì)議，針對標(biāo)準(zhǔn)草案初稿征求意見，對收集到的專家意見進(jìn)行了系統(tǒng)梳理和分析。2024年3月，根據(jù)標(biāo)準(zhǔn)草案初稿研討會(huì)結(jié)果，由省大數(shù)據(jù)管理中心牽頭組織各參編單位對標(biāo)準(zhǔn)草案初稿進(jìn)行修改，形成標(biāo)準(zhǔn)草案更新版本，并再次征求了與會(huì)單位的意見和建議。通過以上行動(dòng)，江蘇省大數(shù)據(jù)管理中心共收到回復(fù)意見21條。各編制組對每一條意見進(jìn)行了認(rèn)真分析、研究和討論，并結(jié)合實(shí)際情況進(jìn)行了修改和完善。最終，這些意見全部被吸收采納，形成了標(biāo)準(zhǔn)的初審稿。4.初審與修訂階段2024年5月，江蘇省大數(shù)據(jù)管理中心組織召開了標(biāo)準(zhǔn)初審會(huì)。本次會(huì)議針對標(biāo)準(zhǔn)的形式和內(nèi)容進(jìn)行了深入討論，并結(jié)合實(shí)際情況提出了16條修改意見。依據(jù)研討會(huì)會(huì)議結(jié)果，標(biāo)準(zhǔn)編制組再次對標(biāo)準(zhǔn)內(nèi)容進(jìn)行修改，形成征求意見稿。2024年6月，由江蘇省大數(shù)據(jù)管理中心牽頭組織對標(biāo)準(zhǔn)征求意見稿征求意見，共征集各單位及行業(yè)專家有效意見12條，標(biāo)準(zhǔn)編制組采納10條意見對標(biāo)準(zhǔn)征求意見稿進(jìn)行修改和完善。對于另外兩條意見，各編制組經(jīng)過深入討論后認(rèn)為，根據(jù)行業(yè)和規(guī)范的特定要求和實(shí)際情況，暫時(shí)無法采納。根據(jù)討論結(jié)果對標(biāo)準(zhǔn)進(jìn)行修改，形成標(biāo)準(zhǔn)征求意見稿更新版。5.標(biāo)準(zhǔn)審查與報(bào)批階段2024年7月，江蘇省大數(shù)據(jù)管理中心據(jù)各方意見對地方標(biāo)準(zhǔn)進(jìn)行修改完善后，?與編制說明、?有關(guān)行政主管部門意見、?征求意見采納情況等材料一并報(bào)送標(biāo)準(zhǔn)化行政主管部門（江蘇省市場監(jiān)督管理局）進(jìn)行技術(shù)審查。通過送審稿專家審查后，?針對審查專家意見進(jìn)行修改，?完成報(bào)批稿。?這一階段對標(biāo)準(zhǔn)稿進(jìn)行最終修改，?以確保符合所有相關(guān)法規(guī)和標(biāo)準(zhǔn)的要求，?為標(biāo)準(zhǔn)的正式發(fā)布做準(zhǔn)備。?四、主要內(nèi)容及技術(shù)指標(biāo)確立編制單位結(jié)合近年來省內(nèi)外政務(wù)云商用密碼應(yīng)用安全性評估工作進(jìn)行了總結(jié)分析，通過實(shí)地調(diào)研、專家研討和文件查閱等方式，確定了標(biāo)準(zhǔn)的主要內(nèi)容和相關(guān)的技術(shù)指標(biāo)。從密評相關(guān)法律法規(guī)及政策出發(fā)，緊密結(jié)合《江蘇省政務(wù)“一朵云”建設(shè)總體方案》相關(guān)要求，集省密碼管理部門、業(yè)務(wù)應(yīng)用用戶（政府部門）、密評機(jī)構(gòu)和密碼廠商多方意見，同時(shí)依據(jù)新建項(xiàng)目審核情況、密評業(yè)務(wù)咨詢情況、備案結(jié)果情況分析確立本標(biāo)準(zhǔn)具體內(nèi)容。1.評估框架評估對象：政務(wù)云基礎(chǔ)設(shè)施按照保護(hù)主體一般包括物理環(huán)境設(shè)施、網(wǎng)絡(luò)通信設(shè)施、政務(wù)云資源設(shè)施、密碼基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全設(shè)施以及云租戶/政務(wù)信息系統(tǒng)。評估階段：規(guī)劃階段、建設(shè)階段和運(yùn)行階段。評估類型：方案評估和系統(tǒng)評估。2.評估指南規(guī)劃階段：規(guī)定了規(guī)劃階段應(yīng)進(jìn)行方案評估。給出了方案評估過程中涉及的評估對象、評估依據(jù)、評估流程、評估內(nèi)容、參與主體、輸出成果及評估結(jié)論。建設(shè)階段：規(guī)定了投入正式運(yùn)行前應(yīng)進(jìn)行系統(tǒng)評估。給出了系統(tǒng)評估過程中涉及的評估對象、評估依據(jù)、評估流程、評估步驟、參與主體、輸出成果及評估結(jié)論。運(yùn)行建設(shè)階段：規(guī)定了運(yùn)行建設(shè)階段方案評估要求和系統(tǒng)評估周期要求。給出了評估結(jié)果應(yīng)用和結(jié)果備案指導(dǎo)。五、與法律法規(guī)和相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)遵守現(xiàn)行法律法規(guī)，并和強(qiáng)制性標(biāo)準(zhǔn)相協(xié)調(diào)一致。本標(biāo)準(zhǔn)制定中未采用國際標(biāo)準(zhǔn)，文中規(guī)范性引用的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)均為政務(wù)云密碼應(yīng)用安全性評估提供了相關(guān)依據(jù)。江蘇省地方標(biāo)準(zhǔn)《政務(wù)“一朵云”安全管理體系規(guī)范第3部分密碼應(yīng)用安全性評估》》（DB32/TXXX—2024）規(guī)定了政務(wù)云基礎(chǔ)設(shè)施商用密碼應(yīng)用安全性評估程序和要求，提出評估框架，在政務(wù)云基礎(chǔ)設(shè)施建設(shè)、規(guī)劃及運(yùn)行階段的密評要求，并給出了評估結(jié)果應(yīng)用和結(jié)果備案指導(dǎo)。六、作為推薦性或強(qiáng)制性標(biāo)準(zhǔn)的建議建議作為推薦性標(biāo)準(zhǔn)發(fā)布實(shí)施。七、預(yù)期效果及貫徹實(shí)施標(biāo)準(zhǔn)的要求、措施等建議標(biāo)準(zhǔn)實(shí)施過程中加強(qiáng)標(biāo)準(zhǔn)宣貫指導(dǎo)工作，制定標(biāo)準(zhǔn)宣傳培訓(xùn)計(jì)劃，組織標(biāo)準(zhǔn)宣貫培訓(xùn)工作。本標(biāo)準(zhǔn)發(fā)布后，召開專題培訓(xùn)會(huì)，對全省政務(wù)“一朵云”密碼應(yīng)用安全性評估進(jìn)行標(biāo)準(zhǔn)解讀，對標(biāo)準(zhǔn)文件適用場景進(jìn)行宣貫并推廣應(yīng)用。召開全省政務(wù)云等基礎(chǔ)設(shè)施密評工作推進(jìn)會(huì)議，調(diào)研13個(gè)設(shè)區(qū)市政務(wù)云等基礎(chǔ)設(shè)施密碼應(yīng)用安全性評估工作落實(shí)情況，分析研究標(biāo)準(zhǔn)執(zhí)行情況，匯總后召開分析