根据《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)密码应用与安全性评估要求,依据《中华人民共和国密码法》及商用密码管理规定,中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》(2020版)已于日前发布,用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作。
附件:《政务信息系统密码应用与安全性评估工作指南》(2020版)
为贯彻落实《国家政务信息化项目建设管理办法》(国办发〔2019〕 57 号)密码应用与安全性评估要求,依据《中华人民共和国密码法》 及商用密码管理规定,制定本指南。
本指南可用于指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作,也可供政务信息系统集成单位和商用密码应用安全性评估机构参考。各级地方政务信息化项目建设单位和使用单位也可参照本 指南开展相关工作。
本指南主要依据《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法(试行)》《政务信息系统政府采购管理暂行办法》(财库〔2017〕210 号)和 GM/T 0054-2018《信息系统密码应用基本要求》编制。政务信息系统密码应用与安全性评估相关密码国家标准和行业标准正在制定过程中,GM/T 0054对应的国家标准即将发布,本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处,以相关密码国家标准和行业标准为准。必要时本指南将根据最新的管理要求与相关技术标准进行更新。
本指南分为三章。
第一章为政务信息系统密码应用与安全性评估实施过程指南,依据《国家政务信息化项目建设管理办法》和《商用密码应用安全性评估管理办法(试行)》,给出了政务信息系统规划、 建设、运行阶段,项目建设单位和使用单位分别应当开展的密码应用与安全性评估相关工作。
第二章为政务信息系统密码应用措施指南,主要依据 GM/T 0054,介绍了密码在政务信息系统中发挥的主要功能,并给出了密码应用措施方面的建议,可供项目建设单位结合自身实际进行选择和调整。
第三章为政务信息系统密码应用与安全性评估质量保障指南,给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。
本指南附录 1 提供了密码应用方案模板,可供项目建设单位在设计编制密码应用方案时参考。附录2提供了已发布的密码国家标准和密码行业标准目录。附录 3 选取政务信息系统中常见的电子公文处理系统,选择最小业务场景,提炼基本密码应用需求,设计了一个精简版的密码应用方案示例,在密码应用流程、密钥管理、安全管理、实施保障等方面较为简略,可为各单位编写密码应用方案提供思路参考,实际工作请结合附录1,依据项目实际设计编制密码应用方案。移动互联、云计算等场景下的政务信息系统,本指南必要时将以补篇 的形式单独发布密码应用方案示例。