信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求-編制說明

國家標(biāo)準(zhǔn)報批資料一、工作簡況1、任務(wù)來源本標(biāo)準(zhǔn)由國家標(biāo)準(zhǔn)化管理委員會下達(dá)的國家標(biāo)準(zhǔn)編制計劃，項(xiàng)目名稱為《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（計劃號：20190902-T-469），項(xiàng)目類型為標(biāo)準(zhǔn)制定，項(xiàng)目所屬工作組為WG3工作組。本項(xiàng)目由北京數(shù)字認(rèn)證股份有限公司牽頭編制。2、標(biāo)準(zhǔn)編制的主要成員單位項(xiàng)目編制組成員單位主要包括：北京數(shù)字認(rèn)證股份有限公司、國家密碼管理局商用密碼檢測中心、中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、上海交通大學(xué)、中國金融電子化公司測評中心、公安部第三研究所（公安部信息安全等級保護(hù)評估中心）、北京信息安全測評中心、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、飛天誠信科技股份有限公司、中國科學(xué)技術(shù)大學(xué)信息安全測評中心、深圳網(wǎng)安計算機(jī)安全檢測技術(shù)有限公司、山東計算中心（國家超級計算濟(jì)南中心）、中國電子科技集團(tuán)公司第十五研究所（信息產(chǎn)業(yè)測評中心）、北京電子科技學(xué)院、北京三未信安科技發(fā)展有限公司等。3、主要工作過程2018年4月，信安標(biāo)委2018年第一次工作組武漢會議周，在WG3工作組會議上，向?qū)＜液凸ぷ鹘M其他成員單位匯報了《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（投票草案稿）工作情況，并聽取專家及工作組其他成員單位的意見，WG3專家及成員工作組成員單位同意該標(biāo)準(zhǔn)立項(xiàng)。2018年5月-7月，《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》項(xiàng)目牽頭單位組織項(xiàng)目組成員單位對草案稿進(jìn)行研討與進(jìn)一步修改完善，并在2018年7月27日項(xiàng)目立項(xiàng)研討會上進(jìn)行充分溝通與討論，形成新標(biāo)準(zhǔn)草案，提交WG3工作組。2018年9月26日，《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》項(xiàng)目組在WG3組及國家密碼管理局應(yīng)用推進(jìn)處的協(xié)助下，向全國27家檢測中心單位進(jìn)行匯報并廣泛征求意見。2018年9月-10月編制組根據(jù)27家檢測中心單位的意見，對標(biāo)準(zhǔn)進(jìn)行了多次的內(nèi)容的研討，將身份鑒別、訪問控制、數(shù)據(jù)完整性等部分不適用條款進(jìn)行調(diào)整與修改。2018年10月17號在國家密管理局召開了WG3組內(nèi)密碼專家征求意見會。會后根據(jù)專家的意見，重新調(diào)整標(biāo)準(zhǔn)的密碼模塊、密鑰管理相關(guān)要求與定義，以及標(biāo)準(zhǔn)的整體框架結(jié)構(gòu)。并于2018年信安標(biāo)委青島會議周WG3組內(nèi)進(jìn)行匯報與研討。2018年11月，根據(jù)青島會議周專家意見對標(biāo)準(zhǔn)的密鑰管理等內(nèi)容進(jìn)行調(diào)整，并于2018年11月9日，召開編制組及專家研討會，邀請了等保2.0主要編制人員、國內(nèi)密碼專家、國密局相關(guān)專家，會上大家從標(biāo)準(zhǔn)的合規(guī)性、安全性、可用性出發(fā)，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行研討與調(diào)整。2018年11月-2019年1月，標(biāo)準(zhǔn)牽頭單位在WG3組及國家密碼管理局的協(xié)助下，先后與教育部，北京市密碼測評中心、山東省測評中心、上海交通大學(xué)等多家密評檢測單位進(jìn)行了深入的實(shí)地的密評工作討論與調(diào)研，進(jìn)行標(biāo)準(zhǔn)推廣與驗(yàn)證。2019年1月3日第二次對各商用密碼應(yīng)用安全性測評機(jī)構(gòu)征求意見。并于2019年2月28日在北京應(yīng)物會議中心對標(biāo)準(zhǔn)的層次結(jié)構(gòu)、管理制度等進(jìn)行了研討，會后對標(biāo)準(zhǔn)進(jìn)行了進(jìn)一步修改。2019年4月11日，WG3組召集專家對《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行研討，項(xiàng)目組聽取專家及工作組其他成員單位的意見，將密鑰管理要求放入“管理制度中”，技術(shù)部分以資料性附錄形式放在附錄。2019年4月23日，信安標(biāo)委寧波會議周上，牽頭單位對標(biāo)準(zhǔn)進(jìn)行了匯報與研討，WG3組成員單位代表及專家同意標(biāo)準(zhǔn)進(jìn)入征求意見階段。2019年5月30號前需提交征求意見稿及相關(guān)文檔。編制組根據(jù)WG3組專家及成員單位的意見與建議對標(biāo)準(zhǔn)進(jìn)行了修訂，并于2019年5月17日對修改完善后的標(biāo)準(zhǔn)進(jìn)行了組內(nèi)審議，形成征求意見稿。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1、編制原則本標(biāo)準(zhǔn)的編制原則是：安全性，合規(guī)性，可用性合規(guī)性：本規(guī)范立足于當(dāng)前國內(nèi)信息系統(tǒng)安全的實(shí)際狀況，在密鑰管理、密碼技術(shù)應(yīng)用管理、安全管理等方面，在保障安全性的前提下，均遵行國家遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)及國內(nèi)通行做法。安全性：本標(biāo)準(zhǔn)對信息系統(tǒng)密碼應(yīng)用基本要求進(jìn)行設(shè)計，從根本上保障了信息系統(tǒng)密碼應(yīng)用的安全性。本標(biāo)準(zhǔn)分別從系統(tǒng)技術(shù)、密鑰管理、安全管理等多角度、全方位地提出了應(yīng)用密碼的基本要求?？捎眯裕嚎捎糜谥笇?dǎo)、規(guī)范和評估信息系統(tǒng)中的商用密碼應(yīng)用，對網(wǎng)絡(luò)和信息的用戶單位、建設(shè)單位、測評單位及管理部門均可用于指導(dǎo)、規(guī)范和評估信息系統(tǒng)密碼合規(guī)、正確、有效地應(yīng)用。2、確定主要內(nèi)容的依據(jù)本標(biāo)準(zhǔn)制定參考以下國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)：GB/T22239--2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T25069—2010信息安全技術(shù)術(shù)語GB/T37092—2018信息安全技術(shù)密碼模塊安全要求GM/Z4001--2013密碼術(shù)語3、解決的主要問題隨著我國信息系統(tǒng)在我國政務(wù)、金融、能源、醫(yī)療等關(guān)乎國計民生的各個領(lǐng)域中的廣泛使用與推廣，現(xiàn)急需制定符合《信息系統(tǒng)密碼應(yīng)用基本要求》的合規(guī)、安全、可用的信息系統(tǒng)中密碼技術(shù)規(guī)范與標(biāo)準(zhǔn)，增加信息系統(tǒng)密碼應(yīng)用的合規(guī)性、安全性與可用性，實(shí)現(xiàn)可用、合規(guī)的要求，引導(dǎo)整個信息系統(tǒng)密碼應(yīng)用的健康有序發(fā)展，為我國的經(jīng)濟(jì)與社會高速持續(xù)發(fā)展護(hù)航。三、主要試驗(yàn)情況分析暫無。四、知識產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利及知識產(chǎn)權(quán)問題。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果該標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)密碼應(yīng)用的基本要求，從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全四個層面提出了第一級到第四級的密碼應(yīng)用技術(shù)要求，并從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置四個方面提出了第一級到第四級的密碼應(yīng)用安全管理要求，《信息系統(tǒng)密碼應(yīng)用基本要求》行業(yè)標(biāo)準(zhǔn)已于2018年5月28日發(fā)布。應(yīng)用于金融、醫(yī)療、政務(wù)等重要領(lǐng)域及產(chǎn)業(yè)中，其標(biāo)準(zhǔn)具有基礎(chǔ)性、普適性，對建立一個科學(xué)、合理、統(tǒng)一的信息系統(tǒng)密碼應(yīng)用要求具有十分重要的意義。編制組按照全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會要求開展國標(biāo)的編制任務(wù)。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況無。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)具有一致性。八、重大分歧意見的處理經(jīng)過和依據(jù)無。九、標(biāo)準(zhǔn)性質(zhì)的建議建議作為國家推薦性標(biāo)準(zhǔn)發(fā)布。十、貫徹標(biāo)準(zhǔn)的要求和措施建議本標(biāo)準(zhǔn)的基礎(chǔ)來自于密碼行業(yè)標(biāo)準(zhǔn)，已經(jīng)是密碼行業(yè)的共性基礎(chǔ)標(biāo)準(zhǔn)，具備一定的產(chǎn)業(yè)基礎(chǔ)和技術(shù)基礎(chǔ)，本標(biāo)準(zhǔn)適用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用規(guī)劃、建設(shè)和運(yùn)行，是信息系統(tǒng)密碼應(yīng)用急需標(biāo)準(zhǔn)，希望盡快發(fā)布。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議無。十二、其它應(yīng)予說明的事項(xiàng)無。國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（征求意見稿）編制說明