信息系统密码应用方案编制指引、高风险项参考表.pdfVIP

T/GDCCA0001-2022 附 录 A （资料性附录） 信息系统密码应用方案编制指引 A.1 编制原则 A.1.1 总体性 密码应用方案设计与信息系统业务相结合，与信息系统整体网络安全等级保护相一致，在设计系统 总体方案同时，给出密码支撑总体架构设计，引导密码在信息系统中的应用。 A.1.2 科学性 依据GB/T39786-2021 《信息安全技术 信息系统密码应用基本要求》，通过成体系、分层次设计， 形成包括密码支撑总体架构、密码基础设施建设部署、密钥管理体系构建、密码产品部署及管理等内容。 为实现该基本要求在具体信息系统上落地创造条件。 A.1.3 完备性 密码应用方案在密码技术应用、密钥管理和安全管理均按照相关要求设计，组成完备的密码支撑保 障体系。 A.1.4 可行性 密码应用方案应该切合实际、合理可行。方案设计要在保证信息系统业务正常运行的同时，综合考 虑信息系统的复杂性、兼容性及其他保障措施。 A.1.5 经济性 采用商用密码产品和服务符合实际情况，满足安全需求，不出现过度保护，增加额外费用。 A.2 方案要件 密码应用方案应该包括但不限于背景、系统概述、密码应用需求分析、设计目标及原则、技术方案、 安全管理方案、实施保障方案等作为一级目录内容。各部分内容要件如下： 表A.1 方案审核要件清单 要件清单 内容 （包含但不限于以下内容） 1、须包含系统建设规划概述； 背景 2、须包含项目实施的法律、法规依据及必要性。 1、须明确给出当前系统等保定级情况； 2、须给出系统名称、项目建设单位名称、地址、类型及所属密码管理部门， 系统使用单位、使用人员； 3、须明确具体使用场景，正确给出描述； 4、须给出信息系统所在机房情况。包括机房管理责任单位，现有的安全防 系统概述 护措施；门禁系统、视频监控系统具体情况，门禁记录及视频监控记录保护 措施。 5、须给出正确的系统网络拓扑图，并给出相应文字说明。包括网络体系架 构、网络区域划分、系统软硬件构成。 6、明确网络边界划分，指出连接系统的网络通道； 7、须给出系统承载的业务应用、业务功能； 17 T/GDCCA0001-2022 8、须明确系统信息种类、关键数据类型及保护需求，除业务数据外，须包 含密钥数据、身份鉴别数据、个人隐私信息； 9、须明确现有的管理制度。 1、须结合实际具体使用的业务场景，准确给出针对性的系统安全风险分析 及控制措施； 2、须针对安全风险，依据《信息安全技术 信息系统密码应用基本要求》 密码应用需求分析 以及应用系统的实际情况，按照系统等保定级，正确给出密码应用安全需求 分析； 3、对应系统的密评等级，对于《信息安全技术