《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制說明

團(tuán)體標(biāo)準(zhǔn)《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中

數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制說明

一、工作簡(jiǎn)況

1.1任務(wù)來源

《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》由廣

東省網(wǎng)絡(luò)空間安全協(xié)會(huì)歸口管理。

1.2主要起草單位和工作組成員

本標(biāo)準(zhǔn)由華南師范大學(xué)、數(shù)字廣東網(wǎng)絡(luò)建設(shè)有限公司牽頭，工業(yè)

和信息化部電子第五研究所、深圳奧聯(lián)信息安全技術(shù)有限公司、廣州

競(jìng)遠(yuǎn)安全技術(shù)股份有限公司、廣東申騰信息技術(shù)有限公司、華南農(nóng)業(yè)

大學(xué)、北京海泰方圓科技股份有限公司等多家單位共同參與編制。

1.3主要工作過程

（1）2022年11月，標(biāo)準(zhǔn)正式立項(xiàng)，廣東省網(wǎng)絡(luò)空間安全協(xié)會(huì)

發(fā)布《電子政務(wù)系統(tǒng)密碼測(cè)評(píng)中數(shù)據(jù)安全評(píng)估規(guī)范》團(tuán)體標(biāo)準(zhǔn)立項(xiàng)公

告；

（2）2022年12月-2023年4月，組織參與本標(biāo)準(zhǔn)編寫的人員召

開項(xiàng)目啟動(dòng)會(huì)，成立規(guī)范編制小組，確立各自分工，對(duì)電子政務(wù)系統(tǒng)

商用密碼測(cè)評(píng)工作進(jìn)行調(diào)研，走訪多家測(cè)評(píng)服務(wù)單位，聽取各單位的

相關(guān)意見；

（3）2023年5月-2023年7月，編制組召開組內(nèi)研討會(huì)并結(jié)合

充分的調(diào)研結(jié)果，參考各類國家標(biāo)準(zhǔn)和相關(guān)政策文件，形成標(biāo)準(zhǔn)草案

1/6

第一稿；

（4）2023年8月-2023年9月，編制組召開組內(nèi)研討會(huì),結(jié)合各

參編單位的反饋意見，修改形成標(biāo)準(zhǔn)草案第二稿；結(jié)合國家密碼管理

局《商用密碼應(yīng)用安全性評(píng)估管理辦法》，編制組決定將本團(tuán)體標(biāo)準(zhǔn)

的名稱更改為《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)

范》；

（5）2023年10月-2023年11月，編制組召開組內(nèi)研討會(huì)，基

于前期成果，經(jīng)多次內(nèi)部討論研究，組織完善草案內(nèi)容，形成征求意

見稿。

二、標(biāo)準(zhǔn)編制原則和標(biāo)準(zhǔn)編制詳細(xì)說明及解決的主要問題

2.1編制原則

本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：

（1）符合性原則

本標(biāo)準(zhǔn)使用時(shí)能夠與法律法規(guī)和國家強(qiáng)制性標(biāo)準(zhǔn)的要求保持一

致，符合國家相關(guān)主管部門的要求。

（2）實(shí)用性原則

本標(biāo)準(zhǔn)規(guī)范是對(duì)實(shí)際工作成果的總結(jié)與提升，保持整體結(jié)果合理

且維持原意和功能不變的同時(shí)，針對(duì)服務(wù)群體，做到可操作、可用與

實(shí)用。

2.2文檔結(jié)構(gòu)

《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》標(biāo)準(zhǔn)

文檔分為前言、引言、范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、

2/6

電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全總體框架、電子政務(wù)系

統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)生命周期安全防護(hù)要求、電子政務(wù)系統(tǒng)

密碼應(yīng)用中數(shù)據(jù)安全管理要求、電子政務(wù)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)

安全測(cè)評(píng)規(guī)范、附錄等部分。

2.3整體格式

整體格式根據(jù)GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)

準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的相關(guān)要求，對(duì)本標(biāo)準(zhǔn)的各要素進(jìn)行編

寫和排版。

在標(biāo)準(zhǔn)內(nèi)容匯總及整個(gè)各方意見過程中，對(duì)各編寫組成員提交部

分，根據(jù)GB/T1.1-2020的編寫要求進(jìn)行了必要的增刪改，以確保符

合一致性、協(xié)調(diào)性、易用性等文件的表述原則及相關(guān)規(guī)定。

2.4標(biāo)準(zhǔn)名稱英文翻譯

標(biāo)準(zhǔn)的名稱“電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)

規(guī)范”翻譯為Thespecificationofdatasecurityassessmentfor

commercialcryptographyapplicationsecurityevaluationin

E-governancesystems。

結(jié)合國家密碼管理局審議通過《商用密碼應(yīng)用安全性評(píng)估管理辦

法》，編制組將本團(tuán)體標(biāo)準(zhǔn)更名為《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)

估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》（原名稱為《電子政務(wù)系統(tǒng)密碼測(cè)評(píng)中數(shù)據(jù)

安全評(píng)估規(guī)范》），以與管理辦法的表述保持一致。

2.5術(shù)語和定義

術(shù)語和定義中所列的術(shù)語的英文翻譯，如有類似術(shù)語的標(biāo)準(zhǔn)，參

3/6

考了其翻譯，沒有類似術(shù)語標(biāo)準(zhǔn)翻譯的，通過百度翻譯和谷歌翻譯后

進(jìn)行對(duì)比，并參考網(wǎng)絡(luò)相關(guān)翻譯后進(jìn)行確定。

2.6電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全總體框架

本章主要闡述了電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全總

體框架，包括數(shù)據(jù)安全保障能力，數(shù)據(jù)安全密碼應(yīng)用能力，以及電子

政務(wù)系統(tǒng)數(shù)據(jù)生命周期中的安全保障能力。數(shù)據(jù)安全保障能力應(yīng)實(shí)施

電子政務(wù)系統(tǒng)的數(shù)據(jù)分類分級(jí)管理，建立組織保障制度和運(yùn)維保障規(guī)

范，通過數(shù)據(jù)安全評(píng)估提升數(shù)據(jù)安全的保障能力。數(shù)據(jù)安全密碼應(yīng)用

能力應(yīng)重點(diǎn)實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性、敏感性，降低數(shù)據(jù)

破壞、泄漏的風(fēng)險(xiǎn)。

2.7電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)生命周期安全防護(hù)

要求

本章主要介紹了數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)

據(jù)交換以及數(shù)據(jù)清除等階段的安全防護(hù)要求。數(shù)據(jù)采集存在數(shù)據(jù)源偽

造、特權(quán)賬戶濫用、數(shù)據(jù)泄露、數(shù)據(jù)篡改、惡意數(shù)據(jù)注入等安全風(fēng)險(xiǎn)，

應(yīng)基于商用密碼技術(shù)保障數(shù)據(jù)來源的真實(shí)性，保障采集安全級(jí)別3級(jí)

以上數(shù)據(jù)的機(jī)密性與完整性。數(shù)據(jù)傳輸存在數(shù)據(jù)篡改、偽造及竊取等

安全風(fēng)險(xiǎn)，應(yīng)基于商用密碼技術(shù)保障數(shù)據(jù)在傳輸過程中的機(jī)密性、完

整性、真實(shí)性。數(shù)據(jù)存儲(chǔ)存在數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全風(fēng)險(xiǎn)，應(yīng)基

于密碼技術(shù)保障數(shù)據(jù)存儲(chǔ)過程中的機(jī)密性、完整性。數(shù)據(jù)處理存在越

權(quán)訪問、數(shù)據(jù)篡改等安全風(fēng)險(xiǎn)，應(yīng)基于密碼技術(shù)保障數(shù)據(jù)處理的完整

性、真實(shí)性、敏感性。數(shù)據(jù)交換存在數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全風(fēng)險(xiǎn)，

4/6

應(yīng)基于密碼技術(shù)保障數(shù)據(jù)交換的機(jī)密性、完整性、真實(shí)性、敏感性。

數(shù)據(jù)清除存在因數(shù)據(jù)恢復(fù)而泄露的安全風(fēng)險(xiǎn)，應(yīng)基于密碼技術(shù)保障數(shù)

據(jù)的機(jī)密性。

2.8電子政務(wù)系統(tǒng)密碼應(yīng)用中數(shù)據(jù)安全管理要求

本章分別介紹了電子政務(wù)系統(tǒng)密碼應(yīng)用中數(shù)據(jù)安全管理要求，明

確了管理制度、人員管理、權(quán)限管理、建設(shè)運(yùn)行、日志存留、安全審

計(jì)、應(yīng)急處置等方面的相關(guān)管理要求。

2.9電子政務(wù)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范

本章介紹電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)

范。主要利用人員訪談、文件審查、配置檢查及測(cè)試驗(yàn)證等多種方法

評(píng)估開展商密應(yīng)用安全性評(píng)估后的電子政務(wù)系統(tǒng)在各類數(shù)據(jù)處理活

動(dòng)及數(shù)據(jù)承載系統(tǒng)平臺(tái)的保障措施合規(guī)情況，從通用性管理與全生命

周期管理兩方面出發(fā)，針對(duì)各個(gè)指標(biāo)項(xiàng)明確評(píng)估涉及的重要管理措施、

重點(diǎn)技術(shù)措施及判斷標(biāo)準(zhǔn)，明確被評(píng)估事項(xiàng)合規(guī)性保障基線，以提升

數(shù)據(jù)安全管理及相關(guān)技術(shù)保障措施能力水平。

數(shù)據(jù)安全評(píng)估應(yīng)遵循標(biāo)準(zhǔn)性原則、客觀公正原則、可重復(fù)和可再

現(xiàn)原則、可控性原則、完備性原則、最小影響原則以及保密原則。重

點(diǎn)對(duì)評(píng)估流程中的評(píng)估實(shí)施規(guī)范進(jìn)行說明，并介紹了評(píng)估報(bào)告的規(guī)范

要求。

三、知識(shí)產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別

專利的責(zé)任。

5/6

四、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

無采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況。

五、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

建議本標(biāo)準(zhǔn)推薦性實(shí)施。本標(biāo)準(zhǔn)不觸犯國家現(xiàn)行法律法規(guī)，不與

其他強(qiáng)制性國標(biāo)相沖突。

六、重大分歧意見的處理經(jīng)過和依據(jù)

《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》編制

過程中未出現(xiàn)重大分歧。

七、標(biāo)準(zhǔn)性質(zhì)的建議

建議《電子政務(wù)系統(tǒng)商密應(yīng)用安全性評(píng)估中數(shù)據(jù)安全測(cè)評(píng)規(guī)范》

作為推薦性團(tuán)體標(biāo)準(zhǔn)發(fā)布實(shí)施。

八、貫徹標(biāo)準(zhǔn)的要求和措施建議

建議商用密碼應(yīng)用單位以及測(cè)評(píng)服務(wù)單位按規(guī)范貫徹執(zhí)行商用

密碼應(yīng)用安全性評(píng)估，推動(dòng)商用密碼應(yīng)用落地，確保電子政務(wù)系統(tǒng)數(shù)

據(jù)安全。

九、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

無替代或廢止。

十、其他應(yīng)予說明的