《信息安全技术 信息系统密码应用基本要求-编制说明》.pdfVIP

国家标准报批资料 一、工作简况 1、任务来源 本标准由国家标准化管理委员会下达的国家标准编制计划，项目名称为《信 息安全技术 信息系统密码应用基本要求》 （计划号T-469），项目 类型为标准制定，项目所属工作组为WG3工作组。本项目由北京数字认证股份有 限公司牵头编制。 2、标准编制的主要成员单位 项目编制组成员单位主要包括：北京数字认证股份有限公司、国家密码管理 局商用密码检测中心、中国科学院数据与通信保护研究教育中心、上海交通大学、 中国金融电子化公司测评中心、公安部第三研究所 （公安部信息安全等级保护评 估中心）、北京信息安全测评中心、成都卫士通信息产业股份有限公司、飞天诚 信科技股份有限公司、中国科学技术大学信息安全测评中心、深圳网安计算机安 全检测技术有限公司、山东计算中心 （国家超级计算济南中心）、中国电子科技 集团公司第十五研究所 （信息产业测评中心）、北京电子科技学院、北京三未信 安科技发展有限公司等。 3、主要工作过程 1. 2018年4月，信安标委2018年第一次工作组武汉会议周，在WG3工作 组会议上，向专家和工作组其他成员单位汇报了 《信息安全技术 信息系统密码 应用基本要求》（投票草案稿）工作情况，并听取专家及工作组其他成员单位的 意见，WG3专家及成员工作组成员单位同意该标准立项。 2. 2018年5月-7月，《信息安全技术 信息系统密码应用基本要求》项目牵 头单位组织项目组成员单位对草案稿进行研讨与进一步修改完善，并在2018年 7月27 日项目立项研讨会上进行充分沟通与讨论，形成新标准草案，提交WG3 工作组。 3. 2018年9月26 日，《信息安全技术 信息系统密码应用基本要求》项目 组在WG3组及国家密码管理局应用推进处的协助下，向全国27家检测中心单位 进行汇报并广泛征求意见。2018年9月-10月编制组根据27家检测中心单位的 意见，对标准进行了多次的内容的研讨，将身份鉴别、访问控制、数据完整性等 国家标准报批资料 部分不适用条款进行调整与修改。 4. 2018年10月17号在国家密管理局召开了WG3组内密码专家征求意见会。 会后根据专家的意见，重新调整标准的密码模块、密钥管理相关要求与定义，以 及标准的整体框架结构。并于2018年信安标委青岛会议周WG3组内进行汇报与 研讨。 5. 2018年11月，根据青岛会议周专家意见对标准的密钥管理等内容进行 调整，并于2018年11月9 日，召开编制组及专家研讨会，邀请了等保2.0主要 编制人员、国内密码专家、国密局相关专家，会上大家从标准的合规性、安全性、 可用性出发，对标准内容进行研讨与调整。 6. 2018年11月-2019年1月，标准牵头单位在WG3组及国家密码管理局的 协助下，先后与教育部，北京市密码测评中心、山东省测评中心、上海交通大学 等多家密评检测单位进行了深入的实地的密评工作讨论与调研，进行标准推广与 验证。 7. 2019年1月3 日第二次对各商用密码应用安全性测评机构征求意见。并 于2019年2月28 日在北京应物会议中心对标准的层次结构、管理制度等进行了 研讨，会后对标准进行了进一步修改。 8. 2019年4月11 日，WG3组召集专家对 《信息安全技术 信息系统密码应 用基本要求》进行研讨，项目组听取专家及工作组其他成员单位的意见，将密钥 管理要求放入 “管理制度中”，技术部分以资料性附录形式放在附录。 9. 2019年4月23 日，信安标委宁波会议周上，牵头单位对标准进行了汇 报与研讨，WG3组成员单位代表及专家同意标准进入征求意见阶段。 2019年5 月30号前需提交征求意见稿及相关文档。编制组根据WG3组专家及成员单位的 意见与建议对标准进行了修订，并于2019年5月17 日对修改完善后的标准进行 了组内审议，形成征求意见稿。 二、标准编制原则和确定主要内容的论据及解决的主要问题 1、编制原则 本标准的编制原则是： 安全性，合规性，可用性 国家标准报批资料 1. 合规性：本规范立足于当前国内信息系统安全的实际状况，在密钥管理、 密码技术应用管理、安全管理等方面，在保障安全性的前提下，均遵行 国家遵循密码相关国家标准和行业标准及国内通行做法。