《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制說明_第1頁(yè)
《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制說明_第2頁(yè)
《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制說明_第3頁(yè)
《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制說明_第4頁(yè)
《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制說明_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

團(tuán)體標(biāo)準(zhǔn)《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中

數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制說明

一、工作簡(jiǎn)況

1.1任務(wù)來源

《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》由廣

東省網(wǎng)絡(luò)空間安全協(xié)會(huì)歸口管理。

1.2主要起草單位和工作組成員

本標(biāo)準(zhǔn)由華南師范大學(xué)、數(shù)字廣東網(wǎng)絡(luò)建設(shè)有限公司牽頭,工業(yè)

和信息化部電子第五研究所、深圳奧聯(lián)信息安全技術(shù)有限公司、廣州

競(jìng)遠(yuǎn)安全技術(shù)股份有限公司、廣東申騰信息技術(shù)有限公司、華南農(nóng)業(yè)

大學(xué)、北京海泰方圓科技股份有限公司等多家單位共同參與編制。

1.3主要工作過程

(1)2022年11月,標(biāo)準(zhǔn)正式立項(xiàng),廣東省網(wǎng)絡(luò)空間安全協(xié)會(huì)

發(fā)布《電子政務(wù)系統(tǒng)密碼測(cè)評(píng)中數(shù)據(jù)安全評(píng)估規(guī)范》團(tuán)體標(biāo)準(zhǔn)立項(xiàng)公

告;

(2)2022年12月-2023年4月,組織參與本標(biāo)準(zhǔn)編寫的人員召

開項(xiàng)目啟動(dòng)會(huì),成立規(guī)范編制小組,確立各自分工,對(duì)電子政務(wù)系統(tǒng)

商用密碼測(cè)評(píng)工作進(jìn)行調(diào)研,走訪多家測(cè)評(píng)服務(wù)單位,聽取各單位的

相關(guān)意見;

(3)2023年5月-2023年7月,編制組召開組內(nèi)研討會(huì)并結(jié)合

充分的調(diào)研結(jié)果,參考各類國(guó)家標(biāo)準(zhǔn)和相關(guān)政策文件,形成標(biāo)準(zhǔn)草案

1/6

第一稿;

(4)2023年8月-2023年9月,編制組召開組內(nèi)研討會(huì),結(jié)合各

參編單位的反饋意見,修改形成標(biāo)準(zhǔn)草案第二稿;結(jié)合國(guó)家密碼管理

局《商用密碼應(yīng)用安全性評(píng)估管理辦法》,編制組決定將本團(tuán)體標(biāo)準(zhǔn)

的名稱更改為《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)

范》;

(5)2023年10月-2023年11月,編制組召開組內(nèi)研討會(huì),基

于前期成果,經(jīng)多次內(nèi)部討論研究,組織完善草案內(nèi)容,形成征求意

見稿。

二、標(biāo)準(zhǔn)編制原則和標(biāo)準(zhǔn)編制詳細(xì)說明及解決的主要問題

2.1編制原則

本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則:

(1)符合性原則

本標(biāo)準(zhǔn)使用時(shí)能夠與法律法規(guī)和國(guó)家強(qiáng)制性標(biāo)準(zhǔn)的要求保持一

致,符合國(guó)家相關(guān)主管部門的要求。

(2)實(shí)用性原則

本標(biāo)準(zhǔn)規(guī)范是對(duì)實(shí)際工作成果的總結(jié)與提升,保持整體結(jié)果合理

且維持原意和功能不變的同時(shí),針對(duì)服務(wù)群體,做到可操作、可用與

實(shí)用。

2.2文檔結(jié)構(gòu)

《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》標(biāo)準(zhǔn)

文檔分為前言、引言、范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義、縮略語(yǔ)、

2/6

電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全總體框架、電子政務(wù)系

統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)生命周期安全防護(hù)要求、電子政務(wù)系統(tǒng)

密碼應(yīng)用中數(shù)據(jù)安全管理要求、電子政務(wù)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)

安全測(cè)評(píng)規(guī)范、附錄等部分。

2.3整體格式

整體格式根據(jù)GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)

準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的相關(guān)要求,對(duì)本標(biāo)準(zhǔn)的各要素進(jìn)行編

寫和排版。

在標(biāo)準(zhǔn)內(nèi)容匯總及整個(gè)各方意見過程中,對(duì)各編寫組成員提交部

分,根據(jù)GB/T1.1-2020的編寫要求進(jìn)行了必要的增刪改,以確保符

合一致性、協(xié)調(diào)性、易用性等文件的表述原則及相關(guān)規(guī)定。

2.4標(biāo)準(zhǔn)名稱英文翻譯

標(biāo)準(zhǔn)的名稱“電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)

規(guī)范”翻譯為Thespecificationofdatasecurityassessmentfor

commercialcryptographyapplicationsecurityevaluationin

E-governancesystems。

結(jié)合國(guó)家密碼管理局審議通過《商用密碼應(yīng)用安全性評(píng)估管理辦

法》,編制組將本團(tuán)體標(biāo)準(zhǔn)更名為《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)

估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》(原名稱為《電子政務(wù)系統(tǒng)密碼測(cè)評(píng)中數(shù)據(jù)

安全評(píng)估規(guī)范》),以與管理辦法的表述保持一致。

2.5術(shù)語(yǔ)和定義

術(shù)語(yǔ)和定義中所列的術(shù)語(yǔ)的英文翻譯,如有類似術(shù)語(yǔ)的標(biāo)準(zhǔn),參

3/6

考了其翻譯,沒有類似術(shù)語(yǔ)標(biāo)準(zhǔn)翻譯的,通過百度翻譯和谷歌翻譯后

進(jìn)行對(duì)比,并參考網(wǎng)絡(luò)相關(guān)翻譯后進(jìn)行確定。

2.6電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全總體框架

本章主要闡述了電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全總

體框架,包括數(shù)據(jù)安全保障能力,數(shù)據(jù)安全密碼應(yīng)用能力,以及電子

政務(wù)系統(tǒng)數(shù)據(jù)生命周期中的安全保障能力。數(shù)據(jù)安全保障能力應(yīng)實(shí)施

電子政務(wù)系統(tǒng)的數(shù)據(jù)分類分級(jí)管理,建立組織保障制度和運(yùn)維保障規(guī)

范,通過數(shù)據(jù)安全評(píng)估提升數(shù)據(jù)安全的保障能力。數(shù)據(jù)安全密碼應(yīng)用

能力應(yīng)重點(diǎn)實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性、敏感性,降低數(shù)據(jù)

破壞、泄漏的風(fēng)險(xiǎn)。

2.7電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)生命周期安全防護(hù)

要求

本章主要介紹了數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)

據(jù)交換以及數(shù)據(jù)清除等階段的安全防護(hù)要求。數(shù)據(jù)采集存在數(shù)據(jù)源偽

造、特權(quán)賬戶濫用、數(shù)據(jù)泄露、數(shù)據(jù)篡改、惡意數(shù)據(jù)注入等安全風(fēng)險(xiǎn),

應(yīng)基于商用密碼技術(shù)保障數(shù)據(jù)來源的真實(shí)性,保障采集安全級(jí)別3級(jí)

以上數(shù)據(jù)的機(jī)密性與完整性。數(shù)據(jù)傳輸存在數(shù)據(jù)篡改、偽造及竊取等

安全風(fēng)險(xiǎn),應(yīng)基于商用密碼技術(shù)保障數(shù)據(jù)在傳輸過程中的機(jī)密性、完

整性、真實(shí)性。數(shù)據(jù)存儲(chǔ)存在數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全風(fēng)險(xiǎn),應(yīng)基

于密碼技術(shù)保障數(shù)據(jù)存儲(chǔ)過程中的機(jī)密性、完整性。數(shù)據(jù)處理存在越

權(quán)訪問、數(shù)據(jù)篡改等安全風(fēng)險(xiǎn),應(yīng)基于密碼技術(shù)保障數(shù)據(jù)處理的完整

性、真實(shí)性、敏感性。數(shù)據(jù)交換存在數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全風(fēng)險(xiǎn),

4/6

應(yīng)基于密碼技術(shù)保障數(shù)據(jù)交換的機(jī)密性、完整性、真實(shí)性、敏感性。

數(shù)據(jù)清除存在因數(shù)據(jù)恢復(fù)而泄露的安全風(fēng)險(xiǎn),應(yīng)基于密碼技術(shù)保障數(shù)

據(jù)的機(jī)密性。

2.8電子政務(wù)系統(tǒng)密碼應(yīng)用中數(shù)據(jù)安全管理要求

本章分別介紹了電子政務(wù)系統(tǒng)密碼應(yīng)用中數(shù)據(jù)安全管理要求,明

確了管理制度、人員管理、權(quán)限管理、建設(shè)運(yùn)行、日志存留、安全審

計(jì)、應(yīng)急處置等方面的相關(guān)管理要求。

2.9電子政務(wù)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范

本章介紹電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)

范。主要利用人員訪談、文件審查、配置檢查及測(cè)試驗(yàn)證等多種方法

評(píng)估開展商密應(yīng)用安全性評(píng)估后的電子政務(wù)系統(tǒng)在各類數(shù)據(jù)處理活

動(dòng)及數(shù)據(jù)承載系統(tǒng)平臺(tái)的保障措施合規(guī)情況,從通用性管理與全生命

周期管理兩方面出發(fā),針對(duì)各個(gè)指標(biāo)項(xiàng)明確評(píng)估涉及的重要管理措施、

重點(diǎn)技術(shù)措施及判斷標(biāo)準(zhǔn),明確被評(píng)估事項(xiàng)合規(guī)性保障基線,以提升

數(shù)據(jù)安全管理及相關(guān)技術(shù)保障措施能力水平。

數(shù)據(jù)安全評(píng)估應(yīng)遵循標(biāo)準(zhǔn)性原則、客觀公正原則、可重復(fù)和可再

現(xiàn)原則、可控性原則、完備性原則、最小影響原則以及保密原則。重

點(diǎn)對(duì)評(píng)估流程中的評(píng)估實(shí)施規(guī)范進(jìn)行說明,并介紹了評(píng)估報(bào)告的規(guī)范

要求。

三、知識(shí)產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別

專利的責(zé)任。

5/6

四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況

無采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況。

五、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

建議本標(biāo)準(zhǔn)推薦性實(shí)施。本標(biāo)準(zhǔn)不觸犯國(guó)家現(xiàn)行法律法規(guī),不與

其他強(qiáng)制性國(guó)標(biāo)相沖突。

六、重大分歧意見的處理經(jīng)過和依據(jù)

《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制

過程中未出現(xiàn)重大分歧。

七、標(biāo)準(zhǔn)性質(zhì)的建議

建議《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》

作為推薦性團(tuán)體標(biāo)準(zhǔn)發(fā)布實(shí)施。

八、貫徹標(biāo)準(zhǔn)的要求和措施建議

建議商用密碼應(yīng)用單位以及測(cè)評(píng)服務(wù)單位按規(guī)范貫徹執(zhí)行商用

密碼應(yīng)用安全性評(píng)估,推動(dòng)商用密碼應(yīng)用落地,確保電子政務(wù)系統(tǒng)數(shù)

據(jù)安全。

九、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

無替代或廢止。

十、其他應(yīng)予說明的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論