GM/T 0133-2024 关键信息基础设施密码应用要求

ICS35030

CCSL.80

中华人民共和国密码行业标准

GM/T0133—2024

关键信息基础设施密码应用要求

Requirementsforcriticalinformationinfrastructurecryptographyapplication

2024-12-27发布2025-07-01实施

国家密码管理局发布

GM/T0133—2024

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

总体原则

5…………………2

密码应用实施要求

6………………………2

密码应用规划

6.1………………………2

密码应用建设

6.2………………………3

密码应用运行

6.3………………………3

密码应用安全性评估

6.4………………3

密码应用技术和管理要求

7………………4

基本要求

7.1……………4

增强技术要求

7.2………………………4

网络和通信安全

7.2.1………………4

设备和计算安全

7.2.2………………4

应用和数据安全

7.2.3………………5

增强管理要求

7.3………………………5

人员管理

7.3.1………………………5

建设运行

7.3.2………………………5

密码产品和服务

7.3.3………………6

密钥管理

7.3.4………………………6

密码运行安全保障要求

8…………………6

密码资源弹性供给

8.1…………………6

密码运行状态监测预警

8.2……………6

密码运行安全事件应急处置

8.3………………………6

附录资料性关键信息基础设施密码应用要求汇总列表

A()…………8

参考文献

……………………11

Ⅰ

GM/T0133—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由密码行业标准化技术委员会提出并归口

。

本文件起草单位北京数字认证股份有限公司公安部第三研究所中国科学院信息工程研究所

:、、、

北京市经济和信息化局网络安全管理中心中国科学院大学兴唐通信科技有限公司华为技术有限公

、、、

司中电科网络安全科技股份有限公司商用密码检测认证中心中国移动通信集团有限公司国家计算

、、、、

机网络应急技术处理协调中心昆仑数智科技有限责任公司中国电子科技集团公司第十五研究所

、、、

中国石油化工集团有限公司上海证券交易所上交所技术有限责任公司中互金认证有限公司公安部

、、、、

第一研究所中科信息安全共性技术国家工程研究中心有限公司中国电力科学研究院有限公司上海

、、、

交通大学鼎铉商用密码测评技术深圳有限公司教育部教育管理信息中心中国电子技术标准化研

、()、、

究院中国信息通信研究院国家信息中心中国工业互联网研究院中国金融电子化集团有限公司

、、、、、

中国工商银行股份有限公司中国国家铁路集团有限公司科技和信息化部中电信数智科技有限公司

、、、

天翼云科技有限公司联通智慧安全科技有限公司深圳市网安计算机安全检测技术有限公司长春吉

、、、

大正元信息技术股份有限公司三未信安科技股份有限公司

、。

本文件主要起草人夏冰冰詹榜华林雪焰陈海虹李佳曦王晗王佳欢夏鲁宁杜皎张永强

:、、、、、、、、、、

黎水林王勇贾世杰马原陈天宇赵阳郑昉昱刘尚焱邵萌彭红张立廷罗鹏张立花张艳

、、、、、、、、、、、、、、

张晓娜张嵩刘健杨龙黄喆磊朱立房慧丽李增局李秋香刘志宇周世杰胡建勋高振鹏

、、、、、、、、、、、、、

李智虎银鹰陈磊肖飞张鹏黄晶晶徐秀罗海宁查奇文李振李萌张文塔王建峰刘乐

、、、、、、、、、、、、、、

南杰慧邓诗智赵丽丽高志权

、、、。

Ⅲ

GM/T0133—2024

引言

为落实中华人民共和国网络安全法中华人民共和国密码法商用密码管理条例关键信息基

《》《》《》《

础设施安全保护条例中的相关要求保障关键信息基础设施的安全稳定运行关键信息基础设施的安

》,,

全保护建设在遵循信息安全技术关键信息基础设施安全保护要求的前提下

GB/T39204—2022《》,

采用密码技术对关键信息基础设施实施合规正确有效的保护实现体系化密码应用

、、,。

总体而言关键信息基础设施运营者开展密码应用工作时在遵循信息安全

,,GB/T39786—2021《

技术信息系统密码应用基本要求的基础上重点考虑关键业务在稳定性业务持续性方面的保障要

》,、

求从整体视角出发分析识别关键业务所面临的安全风险落实本文件中提出的对关键信息基础设施实

,,

施重点保护所需的密码应用实施要求密码应用技术和管理要求以及密码运行安全保障要求切实保障

、,

关键信息基础设施安全稳定运行

。

Ⅳ

GM/T0133—2024

关键信息基础设施密码应用要求

1范围

本文件规定了关键信息基础设施的密码应用实施要求密码应用技术和管理要求密码运行安全保

、、

障要求

。

本文件适用于指导和规范关键信息基础设施运营者对关键信息基础设施密码应用的规划建设运

、、

行及安全性评估也可供关键信息基础设施安全保护的其他相关方参考使用

,。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069—2022

信息安全技术关键信息基础设施安全保护要求

GB/T39204—2022

信息安全技术信息系统密码应用基本要求

GB/T39786—2021

3术语和定义

界定的以及下

GB/T22239—2019、GB/T25069—2022、GB/T39204—2022、GB/T39786—2021

列术语和定义适用于本文件

。

31

.

关键信息基础设施criticalinformationinfrastructure

公共通信和信息服务能源交通水利金融公共服务电子政务国防科技工业等重要行业和领

、、、、、、、

域以及其他一旦遭到破坏丧失功能或者数据泄露可能严重危害国家安全国计民生公共利益的重

,、,、、

要网络设施信息系统等

、。

来源

[:GB/T39204—2022,3.1]

32

.

关键信息基础设施边界criticalinformationinfrastructureboundary

所有关键信息基础设施要素的集合

。

33

.

商用密码保障系统cryptographicsecuritysystem

通过商用密码算法密码协议密钥管理机制等密码技术实现能够提供一种或多种密码功能用于

、、,,

保障网络和信息系统安全稳定运行并维护身份真实性数据的完整性和机密性行为不可否认性的

、、

系统

。

注密码功能包括但不限于加密传输加密存储数字签名密钥管理等

:、、、。

34

.

重要数据keydata

特定领域特定群体特定区域或达到一定精度和规模的一旦被泄露或篡改损毁可能直接危害

、、,、,

1