GM/T 0139-2024 信息系统密码应用安全管理体系

ICS35030

CCSL.80

中华人民共和国密码行业标准

GM/T0139—2024

信息系统密码应用安全管理体系

Informationsystemcryptographyapplicationsecuritymanagementsystems

2024-12-27发布2025-07-01实施

国家密码管理局发布

GM/T0139—2024

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

密码应用安全管理体系概述

5……………2

管理保障

6…………………3

组织保障

6.1……………3

服务保障

6.2……………3

密码应用安全风险管理

7…………………5

通用要求

7.1……………5

密码应用安全风险评估

7.2……………5

密码应用安全风险处置

7.3……………6

密码应用安全控制

8………………………6

管理制度

8.1……………6

人员管理

8.2……………8

环境和资源管理

8.3……………………10

规划和建设管理

8.4……………………12

运行和维护管理

8.5……………………13

应急管理

8.6……………15

监督和检查管理

8.7……………………16

安全审计

8.8……………16

有效性测量和持续改进

9…………………17

监视测量和分析

9.1、…………………17

持续改进

9.2……………18

密码应用安全管理体系评估

10…………18

自评估

10.1……………18

第三方评估

10.2………………………18

附录规范性信息系统密码应用安全管理体系过程文件

A()…………20

通则

A.1………………20

信息系统密码应用安全风险管理类文件

A.2………20

信息系统密码应用安全控制类文件

A.3……………20

有效性测量和持续改进类文件

A.4…………………21

密码应用安全管理体系评估类文件

A.5……………21

Ⅰ

GM/T0139—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由密码行业标准化技术委员会提出并归口

。

本文件起草单位工业和信息化部电子第五研究所广州赛宝认证中心服务有限公司北京电子科

:、、

技学院中国科学院信息工程研究所中国科学院大学北京数字认证股份有限公司暨南大学北京信

、、、、、

安世纪科技股份有限公司深圳市腾讯计算机系统有限公司

、。

本文件主要起草人李丹卢列文高锐尤博云雷刘北水姚莹古宜平姚锐冬肖威彭辉

:、、、、、、、、、、、

邓贵钊程保琨金诚斌陈艳段沛鑫阎亚龙马原郑昉昱张永强谭武征汪宗斌谢灿杜大海

、、、、、、、、、、、、。

Ⅲ

GM/T0139—2024

引言

为了对组织的信息系统密码应用安全管理提供整体统一的模型和方法从管理层面保障信息系统

、,

密码应用安全制定本文件本文件可作为组织基于实现信息安全管理体系过程

,。GB/T22080(ISMS)

中选择控制时的参考或作为组织在实现密码应用安全管理控制时的指南在考虑信息系统安全等级

,。

和具体密码应用信息安全风险环境后本文件也可用于制定特定行业和特定组织满足

,GB/T39786—

密码应用管理要求的指南

2021。

Ⅳ

GM/T0139—2024

信息系统密码应用安全管理体系

1范围

本文件规定了组织建立实施运行保持和持续改进密码应用安全管理体系的要求从管理层面给

、、、,

出了密码应用安全控制措施和实施指南

。

本文件适用于信息系统运营者等与密码应用相关的各种类型规模和特性的组织适用于网络安全

、,

等级保护第一级到第四级的信息系统

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术安全技术信息安全管理体系要求

GB/T22080—2016

信息安全技术网络安全等级保护定级指南

GB/T22240

信息安全技术术语

GB/T25069—2022

信息安全技术信息安全管理体系概述和词汇

GB/T29246—2023

信息安全技术信息系统密码应用基本要求

GB/T39786—2021

信息安全技术信息系统密码应用设计指南

GB/T43207

密码术语

GM/Z4001—2013

3术语和定义

GB/T29246—2023、GB/T22080—2016、GB/T25069—2022、GB/T39786—2021、GB/T43207、

和界定的以及下列术语和定义适用于本文件

GB/T22240GM/Z4001—2013。

31

.

组织organization

具有自身的职责权威和关系以实现其目标的个人或集体

、。

注组织的概念包括但不限于个体经营者公司法人商行企业机关合伙关系慈善机构或院校或者其部分或

:、、、、、、、,

组合无论注册成立与否是公共的还是私营的

,、。

32

.

控制control

改变风险的措施

。

注1控制包括任何改变风险的过程策略装置实践或其他措施

:、、、。

注2控制可能并不总是发挥出预期或假定的改变效果

:。

33

.

有效性effectiveness

实现所计划活动和达成所计划结果的程度

。

1