信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求-編制說明

國家標準報批資料一、工作簡況1、任務(wù)來源本標準由國家標準化管理委員會下達的國家標準編制計劃，項目名稱為《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（計劃號：20190902-T-469），項目類型為標準制定，項目所屬工作組為WG3工作組。本項目由北京數(shù)字認證股份有限公司牽頭編制。2、標準編制的主要成員單位項目編制組成員單位主要包括：北京數(shù)字認證股份有限公司、國家密碼管理局商用密碼檢測中心、中國科學(xué)院數(shù)據(jù)與通信保護研究教育中心、上海交通大學(xué)、中國金融電子化公司測評中心、公安部第三研究所（公安部信息安全等級保護評估中心）、北京信息安全測評中心、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、飛天誠信科技股份有限公司、中國科學(xué)技術(shù)大學(xué)信息安全測評中心、深圳網(wǎng)安計算機安全檢測技術(shù)有限公司、山東計算中心（國家超級計算濟南中心）、中國電子科技集團公司第十五研究所（信息產(chǎn)業(yè)測評中心）、北京電子科技學(xué)院、北京三未信安科技發(fā)展有限公司等。3、主要工作過程2018年4月，信安標委2018年第一次工作組武漢會議周，在WG3工作組會議上，向?qū)＜液凸ぷ鹘M其他成員單位匯報了《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（投票草案稿）工作情況，并聽取專家及工作組其他成員單位的意見，WG3專家及成員工作組成員單位同意該標準立項。2018年5月-7月，《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》項目牽頭單位組織項目組成員單位對草案稿進行研討與進一步修改完善，并在2018年7月27日項目立項研討會上進行充分溝通與討論，形成新標準草案，提交WG3工作組。2018年9月26日，《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》項目組在WG3組及國家密碼管理局應(yīng)用推進處的協(xié)助下，向全國27家檢測中心單位進行匯報并廣泛征求意見。2018年9月-10月編制組根據(jù)27家檢測中心單位的意見，對標準進行了多次的內(nèi)容的研討，將身份鑒別、訪問控制、數(shù)據(jù)完整性等部分不適用條款進行調(diào)整與修改。2018年10月17號在國家密管理局召開了WG3組內(nèi)密碼專家征求意見會。會后根據(jù)專家的意見，重新調(diào)整標準的密碼模塊、密鑰管理相關(guān)要求與定義，以及標準的整體框架結(jié)構(gòu)。并于2018年信安標委青島會議周WG3組內(nèi)進行匯報與研討。2018年11月，根據(jù)青島會議周專家意見對標準的密鑰管理等內(nèi)容進行調(diào)整，并于2018年11月9日，召開編制組及專家研討會，邀請了等保2.0主要編制人員、國內(nèi)密碼專家、國密局相關(guān)專家，會上大家從標準的合規(guī)性、安全性、可用性出發(fā)，對標準內(nèi)容進行研討與調(diào)整。2018年11月-2019年1月，標準牽頭單位在WG3組及國家密碼管理局的協(xié)助下，先后與教育部，北京市密碼測評中心、山東省測評中心、上海交通大學(xué)等多家密評檢測單位進行了深入的實地的密評工作討論與調(diào)研，進行標準推廣與驗證。2019年1月3日第二次對各商用密碼應(yīng)用安全性測評機構(gòu)征求意見。并于2019年2月28日在北京應(yīng)物會議中心對標準的層次結(jié)構(gòu)、管理制度等進行了研討，會后對標準進行了進一步修改。2019年4月11日，WG3組召集專家對《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》進行研討，項目組聽取專家及工作組其他成員單位的意見，將密鑰管理要求放入“管理制度中”，技術(shù)部分以資料性附錄形式放在附錄。2019年4月23日，信安標委寧波會議周上，牽頭單位對標準進行了匯報與研討，WG3組成員單位代表及專家同意標準進入征求意見階段。2019年5月30號前需提交征求意見稿及相關(guān)文檔。編制組根據(jù)WG3組專家及成員單位的意見與建議對標準進行了修訂，并于2019年5月17日對修改完善后的標準進行了組內(nèi)審議，形成征求意見稿。二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1、編制原則本標準的編制原則是：安全性，合規(guī)性，可用性合規(guī)性：本規(guī)范立足于當(dāng)前國內(nèi)信息系統(tǒng)安全的實際狀況，在密鑰管理、密碼技術(shù)應(yīng)用管理、安全管理等方面，在保障安全性的前提下，均遵行國家遵循密碼相關(guān)國家標準和行業(yè)標準及國內(nèi)通行做法。安全性：本標準對信息系統(tǒng)密碼應(yīng)用基本要求進行設(shè)計，從根本上保障了信息系統(tǒng)密碼應(yīng)用的安全性。本標準分別從系統(tǒng)技術(shù)、密鑰管理、安全管理等多角度、全方位地提出了應(yīng)用密碼的基本要求?？捎眯裕嚎捎糜谥笇?dǎo)、規(guī)范和評估信息系統(tǒng)中的商用密碼應(yīng)用，對網(wǎng)絡(luò)和信息的用戶單位、建設(shè)單位、測評單位及管理部門均可用于指導(dǎo)、規(guī)范和評估信息系統(tǒng)密碼合規(guī)、正確、有效地應(yīng)用。2、確定主要內(nèi)容的依據(jù)本標準制定參考以下國家標準、行業(yè)標準：GB/T22239--2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T25069—2010信息安全技術(shù)術(shù)語GB/T37092—2018信息安全技術(shù)密碼模塊安全要求GM/Z4001--2013密碼術(shù)語3、解決的主要問題隨著我國信息系統(tǒng)在我國政務(wù)、金融、能源、醫(yī)療等關(guān)乎國計民生的各個領(lǐng)域中的廣泛使用與推廣，現(xiàn)急需制定符合《信息系統(tǒng)密碼應(yīng)用基本要求》的合規(guī)、安全、可用的信息系統(tǒng)中密碼技術(shù)規(guī)范與標準，增加信息系統(tǒng)密碼應(yīng)用的合規(guī)性、安全性與可用性，實現(xiàn)可用、合規(guī)的要求，引導(dǎo)整個信息系統(tǒng)密碼應(yīng)用的健康有序發(fā)展，為我國的經(jīng)濟與社會高速持續(xù)發(fā)展護航。三、主要試驗情況分析暫無。四、知識產(chǎn)權(quán)情況說明本標準不涉及專利及知識產(chǎn)權(quán)問題。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果該標準規(guī)定了信息系統(tǒng)密碼應(yīng)用的基本要求，從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全四個層面提出了第一級到第四級的密碼應(yīng)用技術(shù)要求，并從管理制度、人員管理、建設(shè)運行和應(yīng)急處置四個方面提出了第一級到第四級的密碼應(yīng)用安全管理要求，《信息系統(tǒng)密碼應(yīng)用基本要求》行業(yè)標準已于2018年5月28日發(fā)布。應(yīng)用于金融、醫(yī)療、政務(wù)等重要領(lǐng)域及產(chǎn)業(yè)中，其標準具有基礎(chǔ)性、普適性，對建立一個科學(xué)、合理、統(tǒng)一的信息系統(tǒng)密碼應(yīng)用要求具有十分重要的意義。編制組按照全國信息安全標準化技術(shù)委員會要求開展國標的編制任務(wù)。六、采用國際標準和國外先進標準情況無。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準具有一致性。八、重大分歧意見的處理經(jīng)過和依據(jù)無。九、標準性質(zhì)的建議建議作為國家推薦性標準發(fā)布。十、貫徹標準的要求和措施建議本標準的基礎(chǔ)來自于密碼行業(yè)標準，已經(jīng)是密碼行業(yè)的共性基礎(chǔ)標準，具備一定的產(chǎn)業(yè)基礎(chǔ)和技術(shù)基礎(chǔ)，本標準適用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用規(guī)劃、建設(shè)和運行，是信息系統(tǒng)密碼應(yīng)用急需標準，希望盡快發(fā)布。十一、替代或廢止現(xiàn)行相關(guān)標準的建議無。十二、其它應(yīng)予說明的事項無。國家標準《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（征求意見稿）編制說明