1. 当前位置:
  2. 首页 >
  3. 团体标准 >
  4. T/GDCCA 0001-2022

T/GDCCA 0001-2022 信息系统密码应用方案评估规范

T/GDCCA 0001-2022 Information system password application scheme evaluation specification

团体标准 中文(简体) 现行 页数:21页 | 格式:PDF

基本信息

标准号
T/GDCCA 0001-2022
标准类型
团体标准
标准状态
现行
中国标准分类号(CCS)
L80 数据加密
国际标准分类号(ICS)
35.040 字符集和信息编码
发布日期
2022-05-19
实施日期
2022-06-01
发布单位/组织
-
归口单位
广东省商用密码协会
适用范围
范围:本文件规定了信息系统密码应用方案评估的方法及要点。适用于指导、规范密码应用方案评估方对密码应用方案开展评估工作; 主要技术内容:本文件将信息系统密码应用方案评估分为形式审核、实质审核、指标评估、初步量化评估、结论判定等活动。对于形式审核、实质审核给出审核对象、审核实施和结果判定。对于指标评估给出每个活动的保护对象、评估对象、评估指标、评估实施和结果判定的相关要求

发布历史

文前页预览

T/GDCCA 0001-2022 信息系统密码应用方案评估规范-第1页
T/GDCCA 0001-2022 信息系统密码应用方案评估规范-第2页
T/GDCCA 0001-2022 信息系统密码应用方案评估规范-第3页
T/GDCCA 0001-2022 信息系统密码应用方案评估规范-第4页
T/GDCCA 0001-2022 信息系统密码应用方案评估规范-第5页
T/GDCCA 0001-2022 信息系统密码应用方案评估规范-第6页

研制信息

起草单位:
深圳市网安计算机安全检测技术有限公司、广州竞远安全技术股份有限公司、工业和信息化部电子第五研究所、鼎铉商用密码测评技术(深圳)有限公司、北京数字认证股份有限公司、信安神州科技(广州)有限公司、华测检测认证集团股份有限公司、腾讯科技(深圳)有限公司、北京数盾信息科技有限公司、北京海泰方圆科技股份有限公司
起草人:
薛涛、洪跃腾、王正临、艾志娟、胡之斐、唐启楠、孙少波、谭波、梁承东、刘江、高锐、尤博、陈磊、葛强、彭洁瑶、张世栋、朱永进、李莲、谢灿、钟博、杨勇、付庆龙
出版信息:
页数:21页 | 字数:- | 开本: -

内容描述

ICS35.040

L80

备案号:

广东省密码团体标准

T/GDCCA0001-2022

信息系统密码应用方案

评估规范

EvaluationSpecificationofInformationSystem

CryptographyApplicationScheme

2022-05-19发布2022-06-01实施

广东省商用密码协会发布

T/GDCCA0001-2022

目次

前言.................................................................................II

引言................................................................................IV

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4缩略语.............................................................................1

5概述...............................................................................2

6方法...............................................................................2

6.1审核方法.......................................................................2

6.2指标评估方法...................................................................2

6.3初步量化评估方法...............................................................3

6.4评估结论判定方法...............................................................3

7形式审核...........................................................................3

7.1内容完整性.....................................................................3

7.2内容一致性.....................................................................4

7.3文本规范性.....................................................................4

8实质审核...........................................................................4

8.1密码应用现状...................................................................4

8.2密码应用保护对象...............................................................5

8.3密码应用需求及控制措施.........................................................5

8.4实施保障措施...................................................................5

9指标评估...........................................................................6

9.1技术评估.......................................................................6

9.2管理评估......................................................................11

10初步量化评估.....................................................................12

11评估结论.........................................................................12

附录A(资料性)信息系统密码应用方案编制指引........................................13

附录B(资料性)高风险项参考表......................................................15

参考文献......................................................................17

I

T/GDCCA0001-2022

前  言

本文件根据GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由广东省商用密码协会(T/GDCCA)提出并归口。

本文件起草单位:深圳市网安计算机安全检测技术有限公司、广州竞远安全技术股份有限公司、工

业和信息化部电子第五研究所、鼎铉商用密码测评技术(深圳)有限公司、北京数字认证股份有限公司、

信安神州科技(广州)有限公司、华测检测认证集团股份有限公司、腾讯科技(深圳)有限公司、北京

数盾信息科技有限公司、北京海泰方圆科技股份有限公司。

本文件主要起草人:薛涛、洪跃腾、王正临、艾志娟、胡之斐、唐启楠、孙少波、谭波、梁承东、

刘江、高锐、尤博、陈磊、葛强、彭洁瑶、张世栋、朱永进、李莲、谢灿、钟博、杨勇、付庆龙。

本文件及其代替文件的历次版本发布情况为:

本文件首次发布。

II

T/GDCCA0001-2022

引  言

本文件依据GB/T39786-2021,在GM/T0115-2021基础上,结合广东省信息系统密码应用方案评

估工作实际,提出了密码应用方案评估要点,用于统一密码应用方案评估标准,规范实施密码应用方案

评估工作。

IV

T/GDCCA0001-2022

信息系统密码应用方案评估规范

1范围

本文件规定了信息系统密码应用方案评估的方法及要点。适用于指导、规范密码应用方案评估方对

密码应用方案开展评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,

仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本

文件。

GB/T39786-2021信息安全技术信息系统密码应用基本要求

GM/T0115-2021信息系统密码应用测评要求

《商用密码应用安全性评估量化评估规则》(中国密码学会密评联委会2021年12月)

3术语和定义

GM/Z4001-2013中界定的以及下列术语和定义适用于本文件。

3.1

密码应用方案评估evaluationforcryptographyapplicationscheme

方案评估方对信息系统密码应用方案开展审查,给出建议,并出具相关报告的过程。以下简称“方

案评估”。

3.2

方案评估方organizationofschemeevaluation

接受委托单位委托,实施方案评估的机构或团体,包括商用密码安全性评估机构和信息系统责任单

位自行或者委托组织的专家组。

3.3

方案编制方organizationofschemecompilation

信息系统密码应用方案编制单位,负责方案的编写和修正工作。

3.4

密码应用方案评估人员evaluatorofcryptographyapplicationscheme

信息系统密码应用方案评估方参与方案评估活动的实施人员。

4缩略语

下列缩略语适用于本文件。

A:密码算法/技术合规性(CryptographyAlgorithm/Techniquecompliance)

1

T/GDCCA0001-2022

D:密码使用有效性(CryptographyDeploymenteffectiveness)

K:密钥管理安全(Keymanagementsecurity)

5概述

本文件将信息系统密码应用方案评估分为形式审核、实质审核、指标评估、初步量化评估、结论判

定等活动。对于形式审核、实质审核给出审核对象、审核实施和结果判定。对于指标评估给出每个活动

的保护对象、评估对象、评估指标、评估实施和结果判定的相关要求。

本文件第7章形式审核要点的内容和第8章实质审核要点内容是进行指标评估前的必备内容,用于

保证信息系统密码应用方案具备基本评估条件。

资料性附录A信息系统密码应用方案编制指引供第7章形式审核实施参考。资料性附录B高风险项

参考表,供第8章指标评估实施参考。

6方法

6.1审核方法

形式审核与实质审核采用相同的审核过程:即针对每个审核对象,逐条审核相应的内容,依据标准

给出审核结论。

a)形式审核判定标准:

符合:对应审核条目,方案给出的内容齐备可用,满足方案评估人员评估需要;

基本符合:对应审核条目,方案给出的内容存在部分缺失,或者存在影响可用性的问题,但基本能

满足评估需要,方案评估人员能针对方案实施评估;

不符合:对应审核条目,方案给出的内容存在严重缺失或者可用性差,方案评估人员无法依据方案

有根据地实施评估。

注:形式审核结果判定为“不符合”,方案评估方应将方案退回方案编制方修改、补充,再进行后续工作。

b)实质审核判定标准:

符合:对应审核条目,方案给出的内容正确、有效,满足方案评估人员评估需要;

基本符合:对应审核条目,方案给出的内容基本满足条目要求,不影响方案评估人员实施评估;

不符合:对应审核条目,方案给出的内容缺少必要的审核对象或审核对象的内容严重缺失、或者存

在严重错误,影响方案评估人员实施评估;或者实施保障措施不合理,导致方案不能正常实施。

注:实质审核结果判定为“不符合”,方案评估方应将方案退回方案编制方修改、补充,再进行后续工作。

6.2指标评估方法

本文件依据方案给出的信息系统等保定级,确定密评等级,对应GB/T39786-2021的指标实施评估。

评估时,按技术评估和管理评估划分的评估单元进行评估。

本文件技术评估各单元对应一组相对独立和完整的评估内容,由保护对象、评估对象、评估指标、

评估实施、结果判定组成。本文件管理评估各单元对应一组相对独立和完整的评估内容,由评估对象、

评估实施、结果判定组成。

a)保护对象:来源于GB/T39786-2021中密码应用技术要求维度涉及的保护对象;

b)评估对象:信息系统密码应用方案评估过程中评估作用的对象,包括相关配套密码产品、通用

设备、人员、管理制度文档、建设运行文档、应急处置文档等;

c)评估指标:来源于GB/T39786-2021中对密码应用技术要求的指标;

2

T/GDCCA0001-2022

d)评估实施:针对某个评估对象,规定了信息系统密码应用方案的指标评估要点;

e)结果判定:根据评估核查实施取得的证据,判定信息系统的密码应用是否满足某个测评指标要

求的方法和原则,判定结论为:通过、不通过。

若评估单元包含两个及以上评估对象,则每个评估对象需要分别进行评估并判定结果。评估单元的

结果由该单元包含的所有评估对象的评估实施结果汇总得出。当评估单元中所有评估对象评估结论为

“通过”,则该评估单元评估结论为“通过”;如果评估单元中存在一个判定结果为“不通过”的评估

对象,则该评估单元评估结论为“不通过”。

6.3初步量化评估方法

本文件在《商用密码应用安全性评估量化评估规则》基础上,给出初步量化评估方法。对各测评对

象的测评结果量化评估规则作部分修改。测评单元的测评结果量化评估规则、安全层面的测评结果量化

评估规则、整体测评结果量化评估规则保持不变。

各测评对象量化评估规则中,按照以下办法确定D、A、K,计算Si,j,k的取值方式不变:

a)评估密码应用设计的正确性,替代评估密码使用的有效性D;

b)密码算法/技术的合规性A与《商用密码应用安全性评估量化评估规则》中的要求保持不变;

c)评估密钥管理制度和密钥管理机制,替代评估密钥管理安全K;

d)评估安全管理制度,替代评估安全管理制度及其落实情况。

6.4评估结论判定方法

本文件方案审核结论包括“通过”和“不通过”。对形式审核、实质审核,如果审核结果为“符合”

或者“基本符合”则方案审核结论为“通过”;如果审核结果为“不符合”,则方案审核结论为“不通

过”。如果方案审核结论为“不通过”,则方案评估结论为“不通过”。

如果方案审核结论为“通过”,对应方案给出的密评等级,指标评估中所有技术评估和管理评估的

单元评估结果均为“通过”,且初步量化评估分数能够达到阈值要求,则方案评估结论为“通过”;否

则为“不通过”。

7形式审核

7.1内容完整性

a)审核对象

方案文本。

b)审核实施

针对审核对象,对照附录A逐条审核以下内容:

1)有关“背景”内容第1~2项;

2)有关“系统概述”内容第1~9项;

3)有关“密码应用需求分析”内容第1~3项;

4)有关“设计目标及原则”内容第1~2项;

5)有关“技术方案”内容第1~7项;

6)有关“安全管理”内容第1~4项;

7)有关“实施保障”内容。

c)结果判定

审核结果为“符合”、“基本符合”、“不符合”。

3

T/GDCCA0001-2022

7.2内容一致性

a)审核对象

方案文本。

b)审核实施

针对审核对象,逐条审核以下内容:

1)密码应用部署网络拓扑图、密码应用安全需求、安全控制措施具有一致性;

2)密码应用部署网络拓扑图标识的商用密码产品与系统密码软硬件产品清单具有一致性;

3)密码应用技术框架、密码应用四个安全层面设计具有一致性;

4)密码应用合规性自查表列出的指标项与GB/T39786-2021附录A相应密评等级的要求一致;

5)密码应用合规性自查表指标适用情况及

定制服务

    推荐标准

    相似标准推荐

    更多>