原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
商用密码应用安全性评估量化评估规则
(2023版)
2023年7月17日发布2023年8月1日实施
中国密码学会密评联委会
目录
1.范围1
2.规范性引用文件1
3.原则1
4.量化评估框架1
5.量化评估规则2
6.量化评估阈值3
I
主要修订情况
版本章节主要修订内容
2020/首次制定
将“密码使用安全”更名为“密码使用有效性”
第4章
将“密码算法/技术安全”更名为“密码算法/技术合规性”
增加“若某个安全层面的所有测评指标都不适用,则该安全层
2021
面不参与量化评估过程”的示例
第5章
完善量化评估表的说法,并增加脚注
更新安全层面和测评单元的权重值
第1章对适用范围的说法进行微调
第3章对原则的说法进行微调
第4章对框架的说法进行微调
更名为“量化评估规则”
修改各测评对象的测评结果量化评估规则和量化评估表,增加
密码算法/技术合规性修正参数和密钥管理安全修正参数,并增
2023第5章补《商用密码应用安全性评估报告模板(2023版)》中针对分值
弥补的说明
修改整体测评结果量化评估规则,使密码应用技术要求和密
码应用管理要求两部分分值保持固定
更名为“量化评估阈值”
第6章增补《商用密码应用安全性评估报告模板(2023版)》中确定的
阈值
商用密码应用安全性评估量化评估规则
1.范围
本文件依据GB/T39786—2021《信息安全技术信息系统密码应用基本要求》和GM/T
0115—2021《信息系统密码应用测评要求》,对信息系统的密码应用情况给出定量评估结果。
本文件适用于规范信息系统密码应用安全性评估,以及指导相关信息系统的规划、建设
等工作。
2.规范性引用文件
1)GB/T39786—2021《信息安全技术信息系统密码应用基本要求》
2)GM/T0115—2021《信息系统密码应用测评要求》
3.原则
本文件按如下原则设计量化评估规则:
1)遵循法律法规和最新相关指导性文件的总体要求;
2)遵循GB/T39786—2021和GM/T0115—2021;
3)鼓励使用合规的密码算法/技术/产品/服务;
4)优先在网络和通信安全层面、应用和数据安全层面推进密码技术应用。
4.量化评估框架
参考GM/T0115—2021,本规则从三个方面进行量化评估:
密码使用有效性(CryptographyDeploymenteffectiveness)是指,密码技术是否被正确、
有效使用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认
性的保护;
文档评论(0)