GM_T 0065-2019商用密码产品生产和保障能力建设规范.pdf

ICS_ 35.040L 80GM中华人民共和国密码行业标准GM/T 0065—2019商用密码产品生产和保障能力建设规范Specification for capability construction of production and guarantee forcommercial-cryptographic products2019-07-12发布2019-07-12实施国家密码管理局发布 GM/T 0065—2019目次前言-范围规范性引用文件术语和定义评估要素4.1基本项4.2声明项4.3评估项基本项要求5.1法人资格5,2主要技术人员5.3产品研发5,4行业管理遵从声明项要求6.1关键人员信息6.2单位性质6.3数据管理评估项要求7.1生产能力7.1.1技术力量7.1.2生产管理7.1.3生产条件7.1.4生产工艺与流程7.2质量保障能力7.2.1制度保障7,2.2开发过程质量管理7.2.3质量问题管理7.2.4持续改进产品质量措施7.3安全保障能力7.3.1组织保障7.3.2安全管理7.4服务保障能力7.4.1制度保障7.4.2应急响应能力7.4.3服务响应方式T GM/T0065—2019e）对离职或调离岗位的单位员工应设置归还信息资产和撤销访问权限的规定d）对纠正和危害安全的行为可进行适当的鼓励和惩罚，7.3.2安全管理安全生产制度保障a)应建立安全生产规章制度并贯御执行；应了解国家和行业的安全生产规定和标准，制定安全生产责任制和安全操作流程。物理和环境安全a)应划分物理安全区域并任命相应的负责人；b)在重要区域应安装门禁系统并对访间进行记录且记录可查询c)在重要区域应安装监控系统且监控的内容记录可查询对重要资产进出单位或重要区域应实行审批机制；e)对重要区域应设置温湿度要求并配备不间断电源；f)应通过消防机构认证，为生产场所配置完备的消防设施，对生产人员进行消防培训，保证生产场所具有充足通畅的消防通道供生产人员安全撒离；g)应由安全负责人定期对机房防火、防雷、防漏、防尘、接地等规程进行检查和记录。计算机和网络安全a)应具备计算机软件防护措施和网络防护措施；b)重要信息资产应由专人维护；c)有远程及移动办公，应建立安全管理制度；d)应具备风险预警及应急处置措施；(a应建立适应组织的信息安全策略，保证信息存储、交换和销股等过程中的安全，f)应具有重要数据备份机制及应急灾备计划。访问控制a)应建立信息访向控制机制，对重要区域有识别并重点保护；b)对通过网络接人生产单位内网应有访问控制，具有员工对信息访间的控制策略；应详细记录数据存放信息。介质控制a)应具有针对移动存储介质的安全管理制度；b)应建立对存储介质申请、使用、更换、维修及报废的管理制度和安全策略，并保存对关键存储介重定期检查的记录；对可重复利用的介质应执行写操作以覆盖旧内容并确保不可恢复；d)对不再利用的介质应采用服损的方式进行物理销毁并确保存储内容不可恢复，开发和支持过程中的安全a)应设立开发安全制度：7 GM/T 0065—2019b)应具有项目开发安全风险识别和控制措施，具有配置管理或权限控制措施c)外协/外包过程如涉及商业秘密应签署保密协议，且外协/外包过程应不包含密钥安装及关键参数配置。资产管理a)应识别所有的资产并保持对重要资产的保护；应制定一套与生产单位所采用的资产管理分类方案一致的信息标识和处置程序并实施。日志审计a)对用户活动、意外和安全事件日志、系统管理员和系统操作者的活动应进行记录，且按照约定的期限对记录进行保存；b)应保护日志设施和日志信息免受破坏和未授权的访问；c)对错误日志应进行分析并采取适当的措施。事故管理a) 对安全事故应使用持续有效的方法管理。0业务持续性管理7.4服务保障能力7.4.1制度保障a)量进行监督并评估。b)根据服务管理的策划应实施服务管理并提供服务、监督、测量和评审，并持续改进，7.4.2应急响应能力a)应建立应急响应机制并统筹规划、协调管理；b)应具有解决突发问题的能力，通过问题原因的识别和分析尽快恢复约定的服务要求并最小化对业务的影响；c)在解决过程中应及时向用户报告进展和最新状态，7.4.3服务响应方式服务网络a)应建立完善的服务网络，结合产品应用情况提供符合使用单位需求的产品服务；(q应明确产品技术服务承诺内容和可操作的服务方案，受理与反馈a)8 GM/T 0065—2019见和间题；(9对用户来函反映及投诉问题应记录，明确间题处理期限，并将相应处理的结果形成报告；c)应建立客户档案；d)对客户应进行服务质量满意度调查。 GM/T 0065—2019中华人民共和国密码行业标准商用密码产品生产和保障能力建设规范GM/T 0065—2019中国标准出版社出版发行北京市朝阳区和平里西街甲2号(