GM/T 0116-2021信息系统密码应用测评过程指南

ICS35040

CCSL.80

中华人民共和国密码行业标准

GM/T0116—2021

信息系统密码应用测评过程指南

Testingandevaluationprocessguideforinformationsystem

cryptographyapplication

2021-10-19发布2022-05-01实施

国家密码管理局发布

GM/T0116—2021

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………1

基本原则

4.1……………1

测评风险识别

4.2………………………2

测评风险规避

4.3………………………2

测评过程

4.4……………3

测评过程概述

4.4.1…………………3

测评准备活动

4.4.2…………………3

方案编制活动

4.4.3…………………3

现场测评活动

4.4.4…………………4

分析与报告编制活动

4.4.5…………4

测评准备活动

5……………4

测评准备活动的工作流程

5.1…………4

测评准备活动的主要任务

5.2…………4

项目启动

5.2.1………………………4

信息收集和分析

5.2.2………………4

测评准备活动的输出文档

5.3…………5

方案编制活动

6……………5

方案编制活动的工作流程

6.1…………5

方案编制活动的主要任务

6.2…………6

测评对象确定

6.2.1…………………6

测评指标确定

6.2.2…………………6

测评检查点确定

6.2.3………………7

测评内容确定

6.2.4…………………7

密评方案编制

6.2.5…………………8

方案编制活动的输出文档

6.3…………8

现场测评活动

7……………9

现场测评活动的工作流程

7.1…………9

现场测评活动的主要任务

7.2…………9

现场测评准备

7.2.1…………………9

现场测评和结果记录

7.2.2…………9

结果确认和资料归还

7.2.3…………10

现场测评活动的输出文档

7.3…………10

Ⅰ

GM/T0116—2021

分析与报告编制活动

8……………………10

分析与报告编制活动的工作流程

8.1…………………10

分析与报告编制活动的主要任务

8.2…………………11

单元测评

8.2.1………………………11

整体测评

8.2.2………………………11

量化评估

8.2.3………………………12

风险分析

8.2.4………………………12

评估结论形成

8.2.5…………………12

密评报告编制

8.2.6…………………13

分析与报告编制活动的输出文档

8.3…………………13

Ⅱ

GM/T0116—2021

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件由密码行业标准化技术委员会提出并归口

。

本文件起草单位国家密码管理局商用密码检测中心中国科学院数据与通信保护研究教育中心

:、、

公安部三所公安部信息安全等级保护评估中心上海交通大学中国电子科技集团第十五研究所信

()、、(

息产业信息安全测评中心深圳市网安计算机安全检测技术有限公司国家信息技术安全研究中心

)、、、

山东道普测评技术有限公司北京信息安全测评中心

、。

本文件主要起草人肖秋林罗鹏马原贾世杰银鹰郑昉昱张立花黎水林牛莹姣刘健杨宏志

:、、、、、、、、、、、

吴冬宇张晓溪陈亚男

、、。

Ⅲ

GM/T0116—2021

信息系统密码应用测评过程指南

1范围

本文件规定了信息系统密码应用的测评过程规范了测评活动及其工作任务

,。

本文件适用于商用密码应用安全性评估机构信息系统责任单位开展密码应用安全性评估工作

、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2010

信息系统密码应用测评要求

GM/T0115

密码术语

GM/Z4001

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069—2010GM/Z4001。

31

.

测评方testingandevaluationagency

对信息系统开展密码应用安全性评估简称密评的主体

(“”)。

注具体可以是商用密码应用安全性评估机构或信息系统责任单位

:。

32

.

被测单位agencyundertestingandevaluation

信息系统责任单位

。

33

.