国家标准 GBT 39786-2021《信息安全技术信息系统密码应用基本要求》.docxVIP

政策背景 2018年，为指导当时即将启动的商用密码应用安全性评估试点工作，国家密码管理局发布了密码行业标准GM/T0054-2018《信息系统密码应用 基本要求》（以下简称GM/T0054）。该标准制定以来，充分验证了GM/T 0054的科学性和可行性。因此，在2021年3月，国家市场监管总局、国家标准化管理委员会发布公告，正式发布国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》（以下简称GB/T 39786），该标准将于2021年10月1日起实施，主要是为了贯彻落实《中华人民共和国密码法》，指导商用密码应用与安全性评估工作的一项基础性标准，对于规范和引导信息系统合规、正确、有效应用密码，切实维护国家网络与信息安全具有重要意义。 此次GB/T 39786在GM/T 0054基础上进一步修改完善，制订发布为国家标准，其完备性、合理性、可操作性都得到进一步提升，突出了其在商用密码应用标准体系中的基础性地位。 GB/T 39786从两个维度提出了相关要求，分别是技术层面和管理层面，技术层面从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了相关技术要求；管理层面从管理制度、人员管理、建设运行、应急处置等四个方面提出了相关管理要求。与GM/T0054相比， GB/T 39786结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化，按照信息系统安全等级分别提出了相应的密码应用要求，并且加强了与国家标准GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》（以下简称GB/T 22239）的衔接，明确了不同等级信息系统所使用的密码产品的安全级别要求，并结合密评工作实践对内容进行了优化，使之更为科学合理。 GB/T 39786与等级保护2.0的关系 本标准对信息系统密码应用划分为自低向高的五个等级，参照GB/T 22239的等级保护对象应具备的基本安全保护能力要求，本标准提出密码保障能力逐级增强的要求，用一、二、三、四、五表示。信息系统管理者可按照业务实际情况选择相应级别的密码保障技术能力及管理能力，各等级描述如下: 第一级是信息系统密码应用安全要求等级的最低等级，要求信息系统符合通用要求和最低限度的管理要求，并鼓励使用密码保障信息系统安全; 第二级是在第一级要求的基础上，增加操作规程、人员上岗培训与考核、应急预案等管理要求﹐并要求优先选择使用密码保障信息系统安全; 第三级是在第二级要求的基础上，增加对真实性、机密性的技术要求以及全部的管理要求； 第四级是在第三级要求的基础上，增加对完整性、不可否认性的技术要求; 第五级密码应用仅在本标准中描述通用要求第五级密码应用技术要求和管理要求不在本标准中描述。。 密码应用安全性评估与等级保护测评要具备衔接性，在《密码法》第二十七条有明确规定：“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评”。对于GB/T 22239中规定的安全要求，GB/T 39786不再重复要求，而是聚焦在GB/T 22239没有覆盖到的密码应用方面，使二者达到既相互补充又可以相互独立实施。 GB/T 39786框架下的系列密码应用标准 GB/T 39786是信息系统密码应用的纲领性、框架性标准，但是由于各行业和各领域的信息系统存在不同的复杂性，所以很难用一个统一的标准去要求所有信息系统的密码应用。 2018年GM/T 0054发布后，密码行业标准化委员会陆续制订发布了一批针对具体应用场景的密码应用技术要求和指南。随着GB/T 39786的发布，这些标准在将来可能要做少许适应性修订，具体标准如下所示： GB/T38541——2020信息安全技术电子文件密码应用指南 GM/T 0096—-2020射频识别防伪系统密码应用指南 GB/T 39786——2021信息安全技术信息系统密码应用基本要求 GM/T 0070—2019电子保单密码应用技术要求 GM/T 0072—2019远程移动支付密码应用技术要求 GM/T 0073—2019手机银行信息系统密码应用技术要求 GM/T0074—2019 网上银行密码应用技术要求 GM/T0075—2019银行信贷信息系统密码应用技术要求 GM/T0076—2019银行卡信息系统密码应用技术要求 GM/T 0077——2019银行核心信息系统密码应用技术要求 GM/T 0095—2020电子招投标密码应用技术要求 GM/T 0100—2020人工确权型数字签名密码应用技术要求 基于GB/T 39786的配套测评文件 为了配合GB/T 39786的实施，更好的指导和规范密码测评活动，中国密码学会密评联委会组织制定了五个测评类指导性文件，分别是《信息系统密码应用