GB/T 43206-2023信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T43206—2023

信息安全技術(shù)

信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求

Informationsecuritytechnology—Testingandevaluationrequirementsfor

informationsystemcryptographyapplication

2023-09-07發(fā)布2024-04-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T43206—2023

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

通則

4………………………2

通用測(cè)評(píng)要求

5……………3

密碼算法

5.1……………3

密碼技術(shù)

5.2……………3

密碼產(chǎn)品

5.3……………3

密碼服務(wù)

5.4……………4

密鑰管理

5.5……………4

技術(shù)測(cè)評(píng)要求

6……………4

物理和環(huán)境安全

6.1……………………4

網(wǎng)絡(luò)和通信安全

6.2……………………7

設(shè)備和計(jì)算安全

6.3……………………10

應(yīng)用和數(shù)據(jù)安全

6.4……………………14

管理測(cè)評(píng)要求

7……………20

管理制度

7.1……………20

人員管理

7.2……………22

建設(shè)運(yùn)行

7.3……………25

應(yīng)急處置

7.4……………27

整體測(cè)評(píng)要求

8……………29

概述

8.1…………………29

單元間測(cè)評(píng)

8.2…………………………29

層面間測(cè)評(píng)

8.3…………………………29

風(fēng)險(xiǎn)分析和評(píng)價(jià)

9…………………………29

測(cè)評(píng)結(jié)論

10………………29

附錄資料性密鑰生存周期管理檢查要點(diǎn)

A()…………31

附錄資料性典型密碼功能測(cè)評(píng)技術(shù)

B()………………35

附錄資料性典型密碼產(chǎn)品應(yīng)用測(cè)評(píng)技術(shù)

C()…………38

參考文獻(xiàn)

……………………41

Ⅰ

GB/T43206—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位國(guó)家密碼管理局商用密碼檢測(cè)中心中國(guó)科學(xué)院信息工程研究所公安部第三研

:、、

究所國(guó)家信息技術(shù)安全研究中心中國(guó)電子科技集團(tuán)公司第十五研究所中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院

、、、、

國(guó)家信息中心工業(yè)和信息化部電子第五研究所中國(guó)科學(xué)院軟件研究所北京市政務(wù)信息安全保障中

、、、

心北京信息安全測(cè)評(píng)中心北京國(guó)家數(shù)字金融技術(shù)檢測(cè)中心有限公司深圳市網(wǎng)安計(jì)算機(jī)安全檢測(cè)技

()、、

術(shù)有限公司道普信息技術(shù)有限公司國(guó)電南京自動(dòng)化股份有限公司浙江東安檢測(cè)技術(shù)有限公司北京

、、、、

銀聯(lián)金卡科技有限公司智巡密碼上海檢測(cè)技術(shù)有限公司哈爾濱工業(yè)大學(xué)深圳安徽科測(cè)信息技

、()、()、

術(shù)有限公司新疆量子通信技術(shù)有限公司

、。

本文件主要起草人羅鵬肖秋林馬原張立花許長(zhǎng)偉陳天宇黃晶晶鄭昉昱田敏求王兵

:、、、、、、、、、、

劉健楊宏志吳冬宇陸臻張宇翔李升任金強(qiáng)黎水林李大為李宏卓張五一張曉溪楊辰

、、、、、、、、、、、、、

蔡一鳴孫鑫高銳呂娜宋玲娓郭守坤何雙羽楊龍李霞王國(guó)朝胡蓋胡燕雄沈汀張紹博

、、、、、、、、、、、、、、

韓瑋

。

Ⅲ

GB/T43206—2023

信息安全技術(shù)

信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求

1范圍

本文件規(guī)定了信息系統(tǒng)第一級(jí)到第四級(jí)密碼應(yīng)用的通用測(cè)評(píng)要求技術(shù)測(cè)評(píng)要求管理測(cè)評(píng)要

、、

求并給出了整體測(cè)評(píng)要求風(fēng)險(xiǎn)分析和評(píng)價(jià)測(cè)評(píng)結(jié)論的要求

,、、。

注本文件描述的信息系統(tǒng)密碼應(yīng)用等級(jí)與規(guī)定的密碼應(yīng)用等級(jí)一致其中第五級(jí)密碼應(yīng)用的

:GB/T39786—2021,

測(cè)評(píng)要求不在本文件中描述

。

本文件適用于指導(dǎo)規(guī)范信息系統(tǒng)密碼應(yīng)用安全性評(píng)估工作中的測(cè)評(píng)活動(dòng)

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2022

信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

GB/T39786—2021

密碼術(shù)語(yǔ)

GM/Z4001

3術(shù)語(yǔ)和定義

和界定的以及下列術(shù)語(yǔ)和定義適用于本

GB/T25069—2022、GB/T39786—2021GM/Z4001

文件

。

31

.

密碼應(yīng)用安全性評(píng)估人員commercialcryptographyapplicationsecurityevaluationstaff

通過(guò)國(guó)家密碼管理部門認(rèn)可的考核或具有密碼技術(shù)應(yīng)用員