2024信息系統(tǒng)密碼應用方案評估過程指南

信息系統(tǒng)密碼應用方案評估過程指南目次前言 II引言 III范圍 1規(guī)范性引用文件 1術語和定義 1總體要求 2基本原則 2方案評估方要求 2信息泄露風險規(guī)避 2方案評估過程 2評估準備 3工作內(nèi)容 3主要任務 3輸入輸出物 3評估修正 4工作內(nèi)容 4主要任務 4輸入輸出物 5安全性審查 5工作內(nèi)容 5主要任務 5輸入輸出物 5報告編制 5工作內(nèi)容 5主要任務 6輸入輸出物 6方案變更評估 7工作內(nèi)容 7主要任務 7輸入輸出物 8附錄 A 9附錄 B 10附錄 C 11附錄 D 12 I信息系統(tǒng)密碼應用方案評估過程指南范圍規(guī)范性引用文件（包括所有的修改單）適用于本文件。GB/T39786-2021信息安全技術信息系統(tǒng)密碼應用基本要求T/GDCCA0001-2022信息系統(tǒng)密碼應用方案評估要點商用密碼應用安全性評估報告模板（2021版）-方案密評報告術語和定義GM/Z4001-2013界定的以及下列的術語和定義適用本文件。3.1密碼應用方案評估evaluationforcryptographyapplicationscheme3.2委托單位entrustorganization委托方案評估方開展方案評估的單位。3.3方案評估方organizationofschemeevaluation3.4密碼應用方案評估人員evaluatorofcryptographyapplicationscheme方案評估方實施方案評估活動時的實施人員或?qū)＜?，簡稱“評估人員”。3.5方案編制方organizationofschemecompilation信息系統(tǒng)密碼應用方案編制單位，負責方案的編寫和修正工作。1總體要求基本原則評估人員對信息系統(tǒng)密碼應用方案開展評估時，應遵循以下原則：客觀公正性原則結果完善性原則GB/T39786-2021以及各個規(guī)范應用文件的基礎之上，方案評估所產(chǎn)方案評估方要求方案評估時，評估方應符合附錄A的要求。信息泄露風險規(guī)避方案評估過程41所示。圖1整體評估流程圖2變更評估流程圖如圖2所示。圖2變更評估流程圖評估準備工作內(nèi)容主要任務項目啟動輸入：委托書或協(xié)議書等。任務描述：評估人員、方案編制方、委托單位組建項目組。根據(jù)委托單位或者方案編制方提供信息系統(tǒng)的基本資料，確定評估計劃。輸出：評估計劃。信息收集輸入：《系統(tǒng)基本信息表》模板（見附錄B）。任務描述：評估人員將《系統(tǒng)基本信息表》模板提供給委托單位、方案編制方。委托單位、方案編制方根據(jù)《系統(tǒng)基本信息表》模板提供評估所需資料。注：相關信息將體現(xiàn)到方案密評報告中。輸出：《系統(tǒng)基本信息表》。輸入輸出物評估準備階段的輸入輸出物如表1所示。表1評估準備輸入輸出物任務輸入文檔輸出文檔輸出文檔內(nèi)容項目啟動委托書或者協(xié)議書評估計劃時間、人員安排等3表1報告編制輸入輸出物（續(xù)）單位地址基本信息、相關負責信息收集《系統(tǒng)基本信息表》模板《系統(tǒng)基本信息表》等評估修正工作內(nèi)容主要任務評估方案輸入：密碼應用方案。T/GDCCA0001-2022C）提交給方案編制方。輸出：《問題記錄表》。修正方案輸入：密碼應用方案、《問題記錄表》。任務描述：6.2.16.2.2輸出：修正的密碼應用方案。確認方案輸入：修正的密碼應用方案。任務描述：評估人員、方案編制方應與委托單位對方案進行確認。6.2.16.2.2修正方案這兩個任務。方案編制方應將委托單位最終確認的密碼應用方案移交給評估人員。輸出：確認后的密碼應用方案。4輸入輸出物評估修正階段的輸入輸出物如表2所示。表2評估修正輸入輸出物任務輸入文檔輸出文檔輸出文檔內(nèi)容評估方案密碼應用方案《問題記錄表》密碼應用方案存在問議等修正方案《問題記錄表》修正的密碼應用方案整改后的密碼應用方案內(nèi)容確認方案修正的密碼應用方案確認后的密碼應用方案確認后的密碼應用方案內(nèi)容安全性審查工作內(nèi)容主要任務輸入：密碼應用方案中需審查的相關內(nèi)容。任務描述：密碼管理部門針對提交的相關問題做出審查，給出審查意見。6.2.1輸入輸出物安全性審查階段的輸入輸出物如表3所示。表3安全性審查輸入輸出物任務輸入文檔輸出文檔輸出文檔內(nèi)容安全性審查密碼應用方案安全性審查意見審查結論、關于方案的整改建議報告編制工作內(nèi)容評估人員對評估過程中獲得的系統(tǒng)基本信息、問題記錄、密碼應用方案進行匯總分析，5主要任務編寫報告輸入：《系統(tǒng)基本信息表》、《問題記錄表》、安全性審查意見（可選）、密碼應用方案。任務描述：評估人員依據(jù)《商用密碼應用安全性評估報告模板（2021）-方案密評報告》編寫報告內(nèi)容，輸出方案評估報告。輸出：初步的方案評估報告。確認報告輸入：初步的方案評估報告。任務描述：評估人員提交初步的方案評估報告給委托單位；8.2.1評估人員經(jīng)過委托單位確認后，輸出確認后的方案評估報告。輸出：經(jīng)過委托單位確認的方案評估報告。審核報告輸入：委托單位確認的方案評估報告、密碼應用方案。任務描述：評估方內(nèi)部應對委托單位確認的方案評估報告進行內(nèi)部審核，給出審核意見。8.2.1通過審核后，評估人員出具審核通過的方案評估報告。輸出：報告審核意見、審核通過的方案評估報告。輸出報告輸入：審核通過的方案評估報告。任務描述：方案評估方將正式的方案評估報告提交給委托單位。輸出：正式的方案評估報告。輸入輸出物報告編制階段的輸入輸出物如表4所示。6表4報告編制輸入輸出物任務輸入文檔輸出文檔輸出文檔內(nèi)容編寫報告《問題記錄表》、安全性審查意見（可選）、密碼應用方案初步的方案評估報告改情況、評估結論等確認報告初步的方案評估報告委托單位確認的方案評估報告方案編制方、委托單位確認的無誤的報告內(nèi)容審核報告委托單位確認的方案評估報告、密碼應用方案報告審核意見、審核通過的方案評估報告方案或報告中存在的問題、審核結論、審核簽字輸出報告審核通過的方案評估報告正式的方案評估報告最終確認無誤的報告內(nèi)容方案變更評估工作內(nèi)容主要任務確定變更內(nèi)容輸入：更改后的密碼應用方案。任務描述：D)，注明更改內(nèi)容、更改原因等，并簽字、蓋章確認。輸出：《密碼應用方案變更評估文件》。出具評估意見輸入：《密碼應用方案變更評估文件》、更改后的密碼應用方案。任務描述：7估人員簽字確認。如果評估方為商用密碼評估機構，則由該機構蓋章確認。如果變更類型為重大變更，則需要對更改后的密碼應用方案重新開展整體評估。輸出：出具評估意見的《密碼應用方案變更評估文件》。輸入輸出物方案變更評估的輸入輸出物如表5所示。表5方案變更評估輸入輸出物任務輸入文檔輸出文檔輸出文檔內(nèi)容確定變更內(nèi)容密碼應用方案《密碼應用方案變更評估文件》密碼應用方案變更原因、變更內(nèi)容、包括與原方案對比、系統(tǒng)責任人簽字、系統(tǒng)責任人所在組織印章出具評估意見《密碼應用方案變更評應用方案出具評估意見的《密碼應用方案變更評估文件》評估人員的評估意見、評估時間、評估人員簽字8附錄 A（規(guī)范性）方案評估方類型要求評估機構國家密碼管理部門認定的商用密碼應用安全性評估機構；注冊地在廣東省，或在廣東省設立的分支機構；所有權證明材料；在廣東省派駐評估人員，提供本地評估人員名單及其社保繳存記錄；評估人員應通過國家密碼管理部門認可的密評技能培訓。評估專家組專家組應由三名及以上專家組成；專家組成員應為密碼行業(yè)、信息安全行業(yè)從業(yè)人員或者相關領域?qū)W者；專家組成員應熟悉GB/T39786-2021專家組成員應具有高級職稱（或相當技術水平）部門認可的密評技能培訓。9附錄 B（資料性）責任單位單位名稱單位地址郵政編碼所屬省部密碼管理部門廣東省密碼管理局聯(lián)系人姓名職務/職稱所屬部門辦公電話移動電話電子郵件信息系統(tǒng)系統(tǒng)名稱方案名稱系統(tǒng)簡介網(wǎng)絡安全等級保護定級情況□已定級，第級（一至四），SAG?！跷炊?，本次密評依據(jù)GB/T39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》第級（一至四）信息系統(tǒng)要求網(wǎng)絡安全等級保護定級備案情況□已備案備案證明編號：□未備案本次被評信息系統(tǒng)與等級保護定級系統(tǒng)是否一致□是□否，變化情況說明：網(wǎng)絡安全等級保護測評情況□已測評評機構名稱： 評時間： 評結論： □正在測評評機構名稱： □未測評商用密碼應用安全性評估情況□已評估評機構名稱： 估時間： 估結論： □正在評估評機構名稱： □未評估10附錄 C（