信息安全技术 信息系统密码应用基本要求-编制说明

国家标准报批资料一、工作简况1、任务来源本标准由国家标准化管理委员会下达的国家标准编制计划，项目名称为《信息安全技术信息系统密码应用基本要求》（计划号：20190902-T-469），项目类型为标准制定，项目所属工作组为WG3工作组。本项目由北京数字认证股份有限公司牵头编制。2、标准编制的主要成员单位项目编制组成员单位主要包括：北京数字认证股份有限公司、国家密码管理局商用密码检测中心、中国科学院数据与通信保护研究教育中心、上海交通大学、中国金融电子化公司测评中心、公安部第三研究所（公安部信息安全等级保护评估中心）、北京信息安全测评中心、成都卫士通信息产业股份有限公司、飞天诚信科技股份有限公司、中国科学技术大学信息安全测评中心、深圳网安计算机安全检测技术有限公司、山东计算中心（国家超级计算济南中心）、中国电子科技集团公司第十五研究所（信息产业测评中心）、北京电子科技学院、北京三未信安科技发展有限公司等。3、主要工作过程2018年4月，信安标委2018年第一次工作组武汉会议周，在WG3工作组会议上，向专家和工作组其他成员单位汇报了《信息安全技术信息系统密码应用基本要求》（投票草案稿）工作情况，并听取专家及工作组其他成员单位的意见，WG3专家及成员工作组成员单位同意该标准立项。2018年5月-7月，《信息安全技术信息系统密码应用基本要求》项目牵头单位组织项目组成员单位对草案稿进行研讨与进一步修改完善，并在2018年7月27日项目立项研讨会上进行充分沟通与讨论，形成新标准草案，提交WG3工作组。2018年9月26日，《信息安全技术信息系统密码应用基本要求》项目组在WG3组及国家密码管理局应用推进处的协助下，向全国27家检测中心单位进行汇报并广泛征求意见。2018年9月-10月编制组根据27家检测中心单位的意见，对标准进行了多次的内容的研讨，将身份鉴别、访问控制、数据完整性等部分不适用条款进行调整与修改。2018年10月17号在国家密管理局召开了WG3组内密码专家征求意见会。会后根据专家的意见，重新调整标准的密码模块、密钥管理相关要求与定义，以及标准的整体框架结构。并于2018年信安标委青岛会议周WG3组内进行汇报与研讨。2018年11月，根据青岛会议周专家意见对标准的密钥管理等内容进行调整，并于2018年11月9日，召开编制组及专家研讨会，邀请了等保2.0主要编制人员、国内密码专家、国密局相关专家，会上大家从标准的合规性、安全性、可用性出发，对标准内容进行研讨与调整。2018年11月-2019年1月，标准牵头单位在WG3组及国家密码管理局的协助下，先后与教育部，北京市密码测评中心、山东省测评中心、上海交通大学等多家密评检测单位进行了深入的实地的密评工作讨论与调研，进行标准推广与验证。2019年1月3日第二次对各商用密码应用安全性测评机构征求意见。并于2019年2月28日在北京应物会议中心对标准的层次结构、管理制度等进行了研讨，会后对标准进行了进一步修改。2019年4月11日，WG3组召集专家对《信息安全技术信息系统密码应用基本要求》进行研讨，项目组听取专家及工作组其他成员单位的意见，将密钥管理要求放入“管理制度中”，技术部分以资料性附录形式放在附录。2019年4月23日，信安标委宁波会议周上，牵头单位对标准进行了汇报与研讨，WG3组成员单位代表及专家同意标准进入征求意见阶段。2019年5月30号前需提交征求意见稿及相关文档。编制组根据WG3组专家及成员单位的意见与建议对标准进行了修订，并于2019年5月17日对修改完善后的标准进行了组内审议，形成征求意见稿。二、标准编制原则和确定主要内容的论据及解决的主要问题1、编制原则本标准的编制原则是：安全性，合规性，可用性合规性：本规范立足于当前国内信息系统安全的实际状况，在密钥管理、密码技术应用管理、安全管理等方面，在保障安全性的前提下，均遵行国家遵循密码相关国家标准和行业标准及国内通行做法。安全性：本标准对信息系统密码应用基本要求进行设计，从根本上保障了信息系统密码应用的安全性。本标准分别从系统技术、密钥管理、安全管理等多角度、全方位地提出了应用密码的基本要求。可用性：可用于指导、规范和评估信息系统中的商用密码应用，对网络和信息的用户单位、建设单位、测评单位及管理部门均可用于指导、规范和评估信息系统密码合规、正确、有效地应用。2、确定主要内容的依据本标准制定参考以下国家标准、行业标准：GB/T22239--2019信息安全技术网络安全等级保护基本要求GB/T25069—2010信息安全技术术语GB/T37092—2018信息安全技术密码模块安全要求GM/Z4001--2013密码术语3、解决的主要问题随着我国信息系统在我国政务、金融、能源、医疗等关乎国计民生的各个领域中的广泛使用与推广，现急需制定符合《信息系统密码应用基本要求》的合规、安全、可用的信息系统中密码技术规范与标准，增加信息系统密码应用的合规性、安全性与可用性，实现可用、合规的要求，引导整个信息系统密码应用的健康有序发展，为我国的经济与社会高速持续发展护航。三、主要试验情况分析暂无。四、知识产权情况说明本标准不涉及专利及知识产权问题。五、产业化情况、推广应用论证和预期达到的经济效果该标准规定了信息系统密码应用的基本要求，从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出了第一级到第四级的密码应用技术要求，并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用安全管理要求，《信息系统密码应用基本要求》行业标准已于2018年5月28日发布。应用于金融、医疗、政务等重要领域及产业中，其标准具有基础性、普适性，对建立一个科学、合理、统一的信息系统密码应用要求具有十分重要的意义。编制组按照全国信息安全标准化技术委员会要求开展国标的编制任务。六、采用国际标准和国外先进标准情况无。七、与现行相关法律、法规、规章及相关标准的协调性与现行相关法律、法规、规章及相关标准具有一致性。八、重大分歧意见的处理经过和依据无。九、标准性质的建议建议作为国家推荐性标准发布。十、贯彻标准的要求和措施建议本标准的基础来自于密码行业标准，已经是密码行业的共性基础标准，具备一定的产业基础和技术基础，本标准适用于指导、规范信息系统密码应用规划、建设和运行，是信息系统密码应用急需标准，希望尽快发布。十一、替代或废止现行相关标准的建议无。十二、其它应予说明的事项无。国家标准《信息安全技术信息系统密码应用基本要求》（征求意见稿）编制说明