DB32T-政務“一朵云”安全管理體系規(guī)范 第3部分：密碼應用安全性評估編制說明

《政務“一朵云”安全管理體系規(guī)范第3部分：密碼應用安全性評估》（征求意見稿）編制說明一、目的意義近年來，黨和國家高度重視密碼技術在網(wǎng)絡安全工作中的重要作用，先后發(fā)布《中華人民共和國密碼法》等多項法律法規(guī)以及相關政策，推進信息系統(tǒng)密碼應用升級改造工作?！渡逃妹艽a應用安全性評估管理辦法（試行）》《國務院辦公廳關于印發(fā)國家政務信息化項目建設管理辦法的通知》《江蘇省省級政務信息化項目建設管理辦法》等相關文件均指出信息系統(tǒng)密碼應用安全性評估的必要性。政務云是數(shù)字政府建設的重要基礎底座，現(xiàn)有的法律、法規(guī)和政策多聚焦宏觀要求，更傾向于具體業(yè)務系統(tǒng)建設，缺少對政務云等重要基礎設施密碼應用安全性評估管理的規(guī)范性指導，省內(nèi)各設區(qū)市政務云基礎設施運行管理機構(gòu)普遍不了解政務云等基礎設施開展密碼應用安全性評估的工作流程。因此，抓緊制定針對性的相關標準，規(guī)范指導政務云等基礎設施開展密碼應用安全性評估，利用國產(chǎn)密碼技術保障政務云等基礎設施安全顯得尤為迫切。政務云密碼應用安全性評估標準制定，對于提升政務信息系統(tǒng)的安全性、保障政務數(shù)據(jù)的機密性、完整性和可用性具有重要意義。密碼應用安全性評估工作是國家對政務信息系統(tǒng)安全性提出的重要要求，標準能夠為政務云等基礎設施密碼應用安全性評估建設提供明確的政策和流程指導，有助于增強政府部門合理規(guī)劃密碼安全預算，優(yōu)化運維資源配置等。政務云等基礎設施密碼應用安全性評估工作將推動密碼技術不斷創(chuàng)新與發(fā)展，為密碼產(chǎn)業(yè)提供新的市場機遇。標準最終實施需要密碼產(chǎn)品、解決方案、檢測服務等多方面的支持，將會帶動密碼產(chǎn)業(yè)鏈上下游企業(yè)高效協(xié)同和創(chuàng)新發(fā)展。二、任務來源本標準文件由江蘇省大數(shù)據(jù)管理中心申報。2023年8月，江蘇省市場監(jiān)督管理局發(fā)布《省市場監(jiān)管局關于下達2023年度江蘇省地方標準項目計劃的通知》，批準《電子政務外網(wǎng)安全管理體系規(guī)范》立項，標準項目承擔單位為江蘇省大數(shù)據(jù)管理中心。標準編制啟動后，根據(jù)新一輪機構(gòu)改革調(diào)整設置情況，聽取政府數(shù)字化轉(zhuǎn)型各方專家和設區(qū)市意見建議，進一步明確標準制定目標和適用范圍，增強標準的針對性和實操性。為使標準內(nèi)容更加準確符合指導全省政務云安全運行的實際定位，將標準名稱修改為《政務“一朵云”安全管理體系規(guī)范》。本次立項的《政務“一朵云”安全管理體系規(guī)范》共有3個部分，本標準文件是第3部分“密碼應用安全性評估”，標準的編制周期為1年。三、編制過程本標準主要編制工作過程如下：1.成立編制組2023年6月至7月期間，江蘇省大數(shù)據(jù)管理中心牽頭標準編制組組織省內(nèi)政務云、商用密碼應用安全性評估相關行業(yè)單位和專家召開標準編制策劃啟動會，確定標準起草單位及專家名錄，各單位討論后確定標準大綱并明確分工任務。2.起草階段2023年8月-12月，各編制組對政務云基礎設施商用密碼應用安全性評估指南進行了全面而深入的調(diào)研和完善工作。編制期間，各編制組廣泛收集資料與業(yè)內(nèi)專家深入討論。經(jīng)過多次討論和修改，最終完成了標準草案的統(tǒng)稿工作。3.征求意見階段2024年1月-2月，標準編制組組織了專題研討會議，針對標準草案初稿征求意見，對收集到的專家意見進行了系統(tǒng)梳理和分析。2024年3月，根據(jù)標準草案初稿研討會結(jié)果，由省大數(shù)據(jù)管理中心牽頭組織各參編單位對標準草案初稿進行修改，形成標準草案更新版本，并再次征求了與會單位的意見和建議。通過以上行動，江蘇省大數(shù)據(jù)管理中心共收到回復意見21條。各編制組對每一條意見進行了認真分析、研究和討論，并結(jié)合實際情況進行了修改和完善。最終，這些意見全部被吸收采納，形成了標準的初審稿。4.初審與修訂階段2024年5月，江蘇省大數(shù)據(jù)管理中心組織召開了標準初審會。本次會議針對標準的形式和內(nèi)容進行了深入討論，并結(jié)合實際情況提出了16條修改意見。依據(jù)研討會會議結(jié)果，標準編制組再次對標準內(nèi)容進行修改，形成征求意見稿。2024年6月，由江蘇省大數(shù)據(jù)管理中心牽頭組織對標準征求意見稿征求意見，共征集各單位及行業(yè)專家有效意見12條，標準編制組采納10條意見對標準征求意見稿進行修改和完善。對于另外兩條意見，各編制組經(jīng)過深入討論后認為，根據(jù)行業(yè)和規(guī)范的特定要求和實際情況，暫時無法采納。根據(jù)討論結(jié)果對標準進行修改，形成標準征求意見稿更新版。5.標準審查與報批階段2024年7月，江蘇省大數(shù)據(jù)管理中心據(jù)各方意見對地方標準進行修改完善后，?與編制說明、?有關行政主管部門意見、?征求意見采納情況等材料一并報送標準化行政主管部門（江蘇省市場監(jiān)督管理局）進行技術審查。通過送審稿專家審查后，?針對審查專家意見進行修改，?完成報批稿。?這一階段對標準稿進行最終修改，?以確保符合所有相關法規(guī)和標準的要求，?為標準的正式發(fā)布做準備。?四、主要內(nèi)容及技術指標確立編制單位結(jié)合近年來省內(nèi)外政務云商用密碼應用安全性評估工作進行了總結(jié)分析，通過實地調(diào)研、專家研討和文件查閱等方式，確定了標準的主要內(nèi)容和相關的技術指標。從密評相關法律法規(guī)及政策出發(fā)，緊密結(jié)合《江蘇省政務“一朵云”建設總體方案》相關要求，集省密碼管理部門、業(yè)務應用用戶（政府部門）、密評機構(gòu)和密碼廠商多方意見，同時依據(jù)新建項目審核情況、密評業(yè)務咨詢情況、備案結(jié)果情況分析確立本標準具體內(nèi)容。1.評估框架評估對象：政務云基礎設施按照保護主體一般包括物理環(huán)境設施、網(wǎng)絡通信設施、政務云資源設施、密碼基礎設施、網(wǎng)絡安全設施以及云租戶/政務信息系統(tǒng)。評估階段：規(guī)劃階段、建設階段和運行階段。評估類型：方案評估和系統(tǒng)評估。2.評估指南規(guī)劃階段：規(guī)定了規(guī)劃階段應進行方案評估。給出了方案評估過程中涉及的評估對象、評估依據(jù)、評估流程、評估內(nèi)容、參與主體、輸出成果及評估結(jié)論。建設階段：規(guī)定了投入正式運行前應進行系統(tǒng)評估。給出了系統(tǒng)評估過程中涉及的評估對象、評估依據(jù)、評估流程、評估步驟、參與主體、輸出成果及評估結(jié)論。運行建設階段：規(guī)定了運行建設階段方案評估要求和系統(tǒng)評估周期要求。給出了評估結(jié)果應用和結(jié)果備案指導。五、與法律法規(guī)和相關標準的關系本標準遵守現(xiàn)行法律法規(guī)，并和強制性標準相協(xié)調(diào)一致。本標準制定中未采用國際標準，文中規(guī)范性引用的國家標準、行業(yè)標準均為政務云密碼應用安全性評估提供了相關依據(jù)。江蘇省地方標準《政務“一朵云”安全管理體系規(guī)范第3部分密碼應用安全性評估》》（DB32/TXXX—2024）規(guī)定了政務云基礎設施商用密碼應用安全性評估程序和要求，提出評估框架，在政務云基礎設施建設、規(guī)劃及運行階段的密評要求，并給出了評估結(jié)果應用和結(jié)果備案指導。六、作為推薦性或強制性標準的建議建議作為推薦性標準發(fā)布實施。七、預期效果及貫徹實施標準的要求、措施等建議標準實施過程中加強標準宣貫指導工作，制定標準宣傳培訓計劃，組織標準宣貫培訓工作。本標準發(fā)布后，召開專題培訓會，對全省政務“一朵云”密碼應用安全性評估進行標準解讀，對標準文件適用場景進行宣貫并推廣應用。召開全省政務云等基礎設施密評工作推進會議，調(diào)研13個設區(qū)市政務云等基礎設施密碼應用安全性評估工作落實情況，分析研究標準執(zhí)行情況，匯總后召開分析