GB/T 43206-2023信息安全技术信息系统密码应用测评要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T43206—2023

信息安全技术

信息系统密码应用测评要求

Informationsecuritytechnology—Testingandevaluationrequirementsfor

informationsystemcryptographyapplication

2023-09-07发布2024-04-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T43206—2023

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

通则

4………………………2

通用测评要求

5……………3

密码算法

5.1……………3

密码技术

5.2……………3

密码产品

5.3……………3

密码服务

5.4……………4

密钥管理

5.5……………4

技术测评要求

6……………4

物理和环境安全

6.1……………………4

网络和通信安全

6.2……………………7

设备和计算安全

6.3……………………10

应用和数据安全

6.4……………………14

管理测评要求

7……………20

管理制度

7.1……………20

人员管理

7.2……………22

建设运行

7.3……………25

应急处置

7.4……………27

整体测评要求

8……………29

概述

8.1…………………29

单元间测评

8.2…………………………29

层面间测评

8.3…………………………29

风险分析和评价

9…………………………29

测评结论

10………………29

附录资料性密钥生存周期管理检查要点

A()…………31

附录资料性典型密码功能测评技术

B()………………35

附录资料性典型密码产品应用测评技术

C()…………38

参考文献

……………………41

Ⅰ

GB/T43206—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位国家密码管理局商用密码检测中心中国科学院信息工程研究所公安部第三研

:、、

究所国家信息技术安全研究中心中国电子科技集团公司第十五研究所中国电子技术标准化研究院

、、、、

国家信息中心工业和信息化部电子第五研究所中国科学院软件研究所北京市政务信息安全保障中

、、、

心北京信息安全测评中心北京国家数字金融技术检测中心有限公司深圳市网安计算机安全检测技

()、、

术有限公司道普信息技术有限公司国电南京自动化股份有限公司浙江东安检测技术有限公司北京

、、、、

银联金卡科技有限公司智巡密码上海检测技术有限公司哈尔滨工业大学深圳安徽科测信息技

、()、()、

术有限公司新疆量子通信技术有限公司

、。

本文件主要起草人罗鹏肖秋林马原张立花许长伟陈天宇黄晶晶郑昉昱田敏求王兵

:、、、、、、、、、、

刘健杨宏志吴冬宇陆臻张宇翔李升任金强黎水林李大为李宏卓张五一张晓溪杨辰

、、、、、、、、、、、、、

蔡一鸣孙鑫高锐吕娜宋玲娓郭守坤何双羽杨龙李霞王国朝胡盖胡燕雄沈汀张绍博

、、、、、、、、、、、、、、

韩玮

。

Ⅲ

GB/T43206—2023

信息安全技术

信息系统密码应用测评要求

1范围

本文件规定了信息系统第一级到第四级密码应用的通用测评要求技术测评要求管理测评要

、、

求并给出了整体测评要求风险分析和评价测评结论的要求

,、、。

注本文件描述的信息系统密码应用等级与规定的密码应用等级一致其中第五级密码应用的

:GB/T39786—2021,

测评要求不在本文件中描述

。

本文件适用于指导规范信息系统密码应用安全性评估工作中的测评活动

、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

信息安全技术信息系统密码应用基本要求

GB/T39786—2021

密码术语

GM/Z4001

3术语和定义

和界定的以及下列术语和定义适用于本

GB/T25069—2022、GB/T39786—2021GM/Z4001

文件

。

31

.

密码应用安全性评估人员commercialcryptographyapplicationsecurityevaluationstaff

通过国家密码管理部门认可的考核或具有密码技术应用员