《政务“一朵云”安全管理体系规范 第3部分：密码应用安全性评估》.doc

DB32/TXXXX—XXXX

DB32/TXXXX—XXXX

PAGE

PAGE2

PAGE

PAGEI

江苏省市场监督管理局发布XX-XX-XX实施XX-XX-XX发布政务“一朵云”安全管理体系规范第3部分：密码应用安全性评估SecurityManagementSystemSpecificationfortheOneCloudofGovernmentAffairsPart3:Securityassessmentofcryptographyapplication（征求意见稿）DB32/TXXXX

江苏省市场监督管理局发布

XX-XX-XX实施

XX-XX-XX发布

政务“一朵云”安全管理体系规范

第3部分：密码应用安全性评估

SecurityManagementSystemSpecificationfortheOneCloudofGovernmentAffairs

Part3:Securityassessmentofcryptographyapplication

（征求意见稿）

DB32/TXXXX—XXXX

DB32

江苏省地方标准

ICS25.040

L70

备案号：

PAGE9

政务“一朵云”安全管理体系规范

第3部分：密码应用安全性评估

1范围

本文件给出了政务云密码应用安全性评估框架，以及评估相关的阶段、类型、对象、依据、流程、内容、输出成果和参与主体。

本文件适用于指导政务云运行管理机构开展商用密码应用安全性评估工作，也可以作为政务云使用单位开展信息系统密码应用建设的参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T37092-2018信息安全技术密码模块安全要求

GB/T39786-2021信息安全技术信息系统密码应用基本要求

GB/T43206-2023信息安全技术信息系统密码应用测评要求

GB/T43207-2023信息安全技术信息系统密码应用设计指南

GM/T0116-2021信息系统密码应用测评过程指南

3术语和定义

GB/T25069-2022和\o密码术语GM/Z0001-2013界定的以及下列术语和定义适用于本文件。

3.1

政务云governmentcloud

运用云计算技术，统筹利用机房、计算、存储、网络、安全、应用支撑等软硬件设备，发挥云计算虚拟化、高可靠性、高通用性、高可扩展性及快速、按需、弹性服务等特征，为政府领域信息系统提供基础设施、支撑软件、运行保障和信息安全等综合服务平台。

3.2

云服务客户cloudtenant

使用政务云的各级政务部门（指各级党委、人大、政府、政协、法院和检察院等政务部门），即使用云计算基础设施开展电子政务业务和处理、存储数据的组织（或机构）及相关事业单位。包括单位内部业务使用人员及对云相关云资源和安全的管理人员。

[来源:GB/T38673-2020，3.4，有修改]

3.3

商用密码commercialcryptography

采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。

3.4

商用密码应用安全性评估securityassessmentofcommercialcryptographyapplication

按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

3.5

密码应用方案cryptographyapplicationscheme

用于指导信息系统责任主体合规、正确、有效地使用密码技术，部署密码保障系统的规划。

[来源:GB/T43207-2023，3.1]

3.6

密码资源池cryptographyresourcepool

一组密码物理资源或虚拟密码资源的集合，能够对密码资源进行实时监控、合理分配和负载均衡，具有可扩展性、高性能、低风险等特点（密码资源包括密码运算部件、密钥存储部件和随机数发生器等）。

[来源:GM∕T0094-2020，3.9]

4评估框架

政务云密码应用安全性评估（简称密评）对象按照保护主体一般包括物理环境设施、网络通信设施、政务云资源设施、密码基础设施、网络安全设施以及云服务客户/政务信息系统。

政务云密评应在规划阶段、建设阶段、运