政务信息系统密码应用与安全性评估 工作指南.pdfVIP

政务信息系统密码应用与安全性评估 工作指南--第1页 政务信息系统密码应用与安全性评估 工作指南 （2020版） 中国密码学会密评联委会 二〇二〇年九月 政务信息系统密码应用与安全性评估 工作指南--第1页 政务信息系统密码应用与安全性评估 工作指南--第2页 前 言 为贯彻落实《国家政务信息化项目建设管理办法》（国办发〔2019〕 57号）密码应用与安全性评估要求，依据《中华人民共和国密码法》 及商用密码管理规定，制定本指南。本指南可用于指导非涉密的国家 政务信息系统建设单位和使用单位规范开展商用密码应用与安全性 评估工作，也可供政务信息系统集成单位和商用密码应用安全性评估 机构参考。各级地方政务信息化项目建设单位和使用单位也可参照本 指南开展相关工作。 本指南主要依据《国家政务信息化项目建设管理办法》《商用密 码应用安全性评估管理办法（试行）》《政务信息系统政府采购管理暂 行办法》（财库〔2017〕210号）和GM/T0054—2018 《信息系统密 码应用基本要求》编制。政务信息系统密码应用与安全性评估相关密 码国家标准和行业标准正在制定过程中，GM/T0054对应的国家标准 即将发布，本指南中任何与当前或后续发布的密码国家标准和行业标 准不一致之处，以相关密码国家标准和行业标准为准。必要时本指南 将根据最新的管理要求与相关技术标准进行更新。 本指南分为三章。第一章为政务信息系统密码应用与安全性评估 实施过程指南，依据《国家政务信息化项目建设管理办法》和《商用 密码应用安全性评估管理办法（试行）》，给出了政务信息系统规划、 建设、运行阶段，项目建设单位和使用单位分别应当开展的密码应用 与安全性评估相关工作。第二章为政务信息系统密码应用措施指南， 主要依据GM/T0054，介绍了密码在政务信息系统中发挥的主要功 -1- 政务信息系统密码应用与安全性评估 工作指南--第2页 政务信息系统密码应用与安全性评估 工作指南--第3页 能，并给出了密码应用措施方面的建议，可供项目建设单位结合自 身实际进行选择和调整。第三章为政务信息系统密码应用与安全性 评估质量保障指南，给出了项目建设单位和使用单位、系统集成单 位、密评机构在相关活动中的质量管理建议。 本指南附录1提供了密码应用方案模板，可供项目建设单位在设 计编制密码应用方案时参考。附录2提供了已发布的密码国家标准和 密码行业标准目录。附录3选取政务信息系统中常见的电子公文处理 系统，选择最小业务场景，提炼基本密码应用需求，设计了一个精简 版的密码应用方案示例，在密码应用流程、密钥管理、安全管理、实 施保障等方面较为简略，可为各单位编写密码应用方案提供思路参 考，实际工作请结合附录1，依据项目实际设计编制密码应用方案。 移动互联、云计算等场景下的政务信息系统，本指南必要时将以补篇 的形式单独发布密码应用方案示例。 本指南起草单位：中国密码学会密评联委会、国家信息中心、国 家密码管理局商用密码检测中心、兴唐通信科技有限公司、北京信安 世纪科技股份有限公司、中国科学院信息工程研究所、国家信息技术 安全研究中心、中金金融认证中心有限公司、北京数字认证股份有限 公司、北京数盾信息科技有限公司。 本指南主要起草人：刘尚焱、汪宗斌、