信息安全技術 信息系統(tǒng)密碼應用基本要求-編制說明

國家標準報批資料一、工作簡況1、任務來源本標準由國家標準化管理委員會下達的國家標準編制計劃，項目名稱為《信息安全技術信息系統(tǒng)密碼應用基本要求》（計劃號：20190902-T-469），項目類型為標準制定，項目所屬工作組為WG3工作組。本項目由北京數字認證股份有限公司牽頭編制。2、標準編制的主要成員單位項目編制組成員單位主要包括：北京數字認證股份有限公司、國家密碼管理局商用密碼檢測中心、中國科學院數據與通信保護研究教育中心、上海交通大學、中國金融電子化公司測評中心、公安部第三研究所（公安部信息安全等級保護評估中心）、北京信息安全測評中心、成都衛(wèi)士通信息產業(yè)股份有限公司、飛天誠信科技股份有限公司、中國科學技術大學信息安全測評中心、深圳網安計算機安全檢測技術有限公司、山東計算中心（國家超級計算濟南中心）、中國電子科技集團公司第十五研究所（信息產業(yè)測評中心）、北京電子科技學院、北京三未信安科技發(fā)展有限公司等。3、主要工作過程2018年4月，信安標委2018年第一次工作組武漢會議周，在WG3工作組會議上，向專家和工作組其他成員單位匯報了《信息安全技術信息系統(tǒng)密碼應用基本要求》（投票草案稿）工作情況，并聽取專家及工作組其他成員單位的意見，WG3專家及成員工作組成員單位同意該標準立項。2018年5月-7月，《信息安全技術信息系統(tǒng)密碼應用基本要求》項目牽頭單位組織項目組成員單位對草案稿進行研討與進一步修改完善，并在2018年7月27日項目立項研討會上進行充分溝通與討論，形成新標準草案，提交WG3工作組。2018年9月26日，《信息安全技術信息系統(tǒng)密碼應用基本要求》項目組在WG3組及國家密碼管理局應用推進處的協(xié)助下，向全國27家檢測中心單位進行匯報并廣泛征求意見。2018年9月-10月編制組根據27家檢測中心單位的意見，對標準進行了多次的內容的研討，將身份鑒別、訪問控制、數據完整性等部分不適用條款進行調整與修改。2018年10月17號在國家密管理局召開了WG3組內密碼專家征求意見會。會后根據專家的意見，重新調整標準的密碼模塊、密鑰管理相關要求與定義，以及標準的整體框架結構。并于2018年信安標委青島會議周WG3組內進行匯報與研討。2018年11月，根據青島會議周專家意見對標準的密鑰管理等內容進行調整，并于2018年11月9日，召開編制組及專家研討會，邀請了等保2.0主要編制人員、國內密碼專家、國密局相關專家，會上大家從標準的合規(guī)性、安全性、可用性出發(fā)，對標準內容進行研討與調整。2018年11月-2019年1月，標準牽頭單位在WG3組及國家密碼管理局的協(xié)助下，先后與教育部，北京市密碼測評中心、山東省測評中心、上海交通大學等多家密評檢測單位進行了深入的實地的密評工作討論與調研，進行標準推廣與驗證。2019年1月3日第二次對各商用密碼應用安全性測評機構征求意見。并于2019年2月28日在北京應物會議中心對標準的層次結構、管理制度等進行了研討，會后對標準進行了進一步修改。2019年4月11日，WG3組召集專家對《信息安全技術信息系統(tǒng)密碼應用基本要求》進行研討，項目組聽取專家及工作組其他成員單位的意見，將密鑰管理要求放入“管理制度中”，技術部分以資料性附錄形式放在附錄。2019年4月23日，信安標委寧波會議周上，牽頭單位對標準進行了匯報與研討，WG3組成員單位代表及專家同意標準進入征求意見階段。2019年5月30號前需提交征求意見稿及相關文檔。編制組根據WG3組專家及成員單位的意見與建議對標準進行了修訂，并于2019年5月17日對修改完善后的標準進行了組內審議，形成征求意見稿。二、標準編制原則和確定主要內容的論據及解決的主要問題1、編制原則本標準的編制原則是：安全性，合規(guī)性，可用性合規(guī)性：本規(guī)范立足于當前國內信息系統(tǒng)安全的實際狀況，在密鑰管理、密碼技術應用管理、安全管理等方面，在保障安全性的前提下，均遵行國家遵循密碼相關國家標準和行業(yè)標準及國內通行做法。安全性：本標準對信息系統(tǒng)密碼應用基本要求進行設計，從根本上保障了信息系統(tǒng)密碼應用的安全性。本標準分別從系統(tǒng)技術、密鑰管理、安全管理等多角度、全方位地提出了應用密碼的基本要求?？捎眯裕嚎捎糜谥笇?、規(guī)范和評估信息系統(tǒng)中的商用密碼應用，對網絡和信息的用戶單位、建設單位、測評單位及管理部門均可用于指導、規(guī)范和評估信息系統(tǒng)密碼合規(guī)、正確、有效地應用。2、確定主要內容的依據本標準制定參考以下國家標準、行業(yè)標準：GB/T22239--2019信息安全技術網絡安全等級保護基本要求GB/T25069—2010信息安全技術術語GB/T37092—2018信息安全技術密碼模塊安全要求GM/Z4001--2013密碼術語3、解決的主要問題隨著我國信息系統(tǒng)在我國政務、金融、能源、醫(yī)療等關乎國計民生的各個領域中的廣泛使用與推廣，現急需制定符合《信息系統(tǒng)密碼應用基本要求》的合規(guī)、安全、可用的信息系統(tǒng)中密碼技術規(guī)范與標準，增加信息系統(tǒng)密碼應用的合規(guī)性、安全性與可用性，實現可用、合規(guī)的要求，引導整個信息系統(tǒng)密碼應用的健康有序發(fā)展，為我國的經濟與社會高速持續(xù)發(fā)展護航。三、主要試驗情況分析暫無。四、知識產權情況說明本標準不涉及專利及知識產權問題。五、產業(yè)化情況、推廣應用論證和預期達到的經濟效果該標準規(guī)定了信息系統(tǒng)密碼應用的基本要求，從信息系統(tǒng)的物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個層面提出了第一級到第四級的密碼應用技術要求，并從管理制度、人員管理、建設運行和應急處置四個方面提出了第一級到第四級的密碼應用安全管理要求，《信息系統(tǒng)密碼應用基本要求》行業(yè)標準已于2018年5月28日發(fā)布。應用于金融、醫(yī)療、政務等重要領域及產業(yè)中，其標準具有基礎性、普適性，對建立一個科學、合理、統(tǒng)一的信息系統(tǒng)密碼應用要求具有十分重要的意義。編制組按照全國信息安全標準化技術委員會要求開展國標的編制任務。六、采用國際標準和國外先進標準情況無。七、與現行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性與現行相關法律、法規(guī)、規(guī)章及相關標準具有一致性。八、重大分歧意見的處理經過和依據無。九、標準性質的建議建議作為國家推薦性標準發(fā)布。十、貫徹標準的要求和措施建議本標準的基礎來自于密碼行業(yè)標準，已經是密碼行業(yè)的共性基礎標準，具備一定的產業(yè)基礎和技術基礎，本標準適用于指導、規(guī)范信息系統(tǒng)密碼應用規(guī)劃、建設和運行，是信息系統(tǒng)密碼應用急需標準，希望盡快發(fā)布。十一、替代或廢止現行相關標準的建議無。十二、其它應予說明的事項無。國家標準《信息安全技術信息系統(tǒng)密碼應用基本要求》（征求意見稿）編制說明