DB32T-政务“一朵云”安全管理体系规范 第3部分：密码应用安全性评估编制说明

《政务“一朵云”安全管理体系规范第3部分：密码应用安全性评估》（征求意见稿）编制说明一、目的意义近年来，党和国家高度重视密码技术在网络安全工作中的重要作用，先后发布《中华人民共和国密码法》等多项法律法规以及相关政策，推进信息系统密码应用升级改造工作。《商用密码应用安全性评估管理办法（试行）》《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》《江苏省省级政务信息化项目建设管理办法》等相关文件均指出信息系统密码应用安全性评估的必要性。政务云是数字政府建设的重要基础底座，现有的法律、法规和政策多聚焦宏观要求，更倾向于具体业务系统建设，缺少对政务云等重要基础设施密码应用安全性评估管理的规范性指导，省内各设区市政务云基础设施运行管理机构普遍不了解政务云等基础设施开展密码应用安全性评估的工作流程。因此，抓紧制定针对性的相关标准，规范指导政务云等基础设施开展密码应用安全性评估，利用国产密码技术保障政务云等基础设施安全显得尤为迫切。政务云密码应用安全性评估标准制定，对于提升政务信息系统的安全性、保障政务数据的机密性、完整性和可用性具有重要意义。密码应用安全性评估工作是国家对政务信息系统安全性提出的重要要求，标准能够为政务云等基础设施密码应用安全性评估建设提供明确的政策和流程指导，有助于增强政府部门合理规划密码安全预算，优化运维资源配置等。政务云等基础设施密码应用安全性评估工作将推动密码技术不断创新与发展，为密码产业提供新的市场机遇。标准最终实施需要密码产品、解决方案、检测服务等多方面的支持，将会带动密码产业链上下游企业高效协同和创新发展。二、任务来源本标准文件由江苏省大数据管理中心申报。2023年8月，江苏省市场监督管理局发布《省市场监管局关于下达2023年度江苏省地方标准项目计划的通知》，批准《电子政务外网安全管理体系规范》立项，标准项目承担单位为江苏省大数据管理中心。标准编制启动后，根据新一轮机构改革调整设置情况，听取政府数字化转型各方专家和设区市意见建议，进一步明确标准制定目标和适用范围，增强标准的针对性和实操性。为使标准内容更加准确符合指导全省政务云安全运行的实际定位，将标准名称修改为《政务“一朵云”安全管理体系规范》。本次立项的《政务“一朵云”安全管理体系规范》共有3个部分，本标准文件是第3部分“密码应用安全性评估”，标准的编制周期为1年。三、编制过程本标准主要编制工作过程如下：1.成立编制组2023年6月至7月期间，江苏省大数据管理中心牵头标准编制组组织省内政务云、商用密码应用安全性评估相关行业单位和专家召开标准编制策划启动会，确定标准起草单位及专家名录，各单位讨论后确定标准大纲并明确分工任务。2.起草阶段2023年8月-12月，各编制组对政务云基础设施商用密码应用安全性评估指南进行了全面而深入的调研和完善工作。编制期间，各编制组广泛收集资料与业内专家深入讨论。经过多次讨论和修改，最终完成了标准草案的统稿工作。3.征求意见阶段2024年1月-2月，标准编制组组织了专题研讨会议，针对标准草案初稿征求意见，对收集到的专家意见进行了系统梳理和分析。2024年3月，根据标准草案初稿研讨会结果，由省大数据管理中心牵头组织各参编单位对标准草案初稿进行修改，形成标准草案更新版本，并再次征求了与会单位的意见和建议。通过以上行动，江苏省大数据管理中心共收到回复意见21条。各编制组对每一条意见进行了认真分析、研究和讨论，并结合实际情况进行了修改和完善。最终，这些意见全部被吸收采纳，形成了标准的初审稿。4.初审与修订阶段2024年5月，江苏省大数据管理中心组织召开了标准初审会。本次会议针对标准的形式和内容进行了深入讨论，并结合实际情况提出了16条修改意见。依据研讨会会议结果，标准编制组再次对标准内容进行修改，形成征求意见稿。2024年6月，由江苏省大数据管理中心牵头组织对标准征求意见稿征求意见，共征集各单位及行业专家有效意见12条，标准编制组采纳10条意见对标准征求意见稿进行修改和完善。对于另外两条意见，各编制组经过深入讨论后认为，根据行业和规范的特定要求和实际情况，暂时无法采纳。根据讨论结果对标准进行修改，形成标准征求意见稿更新版。5.标准审查与报批阶段2024年7月，江苏省大数据管理中心据各方意见对地方标准进行修改完善后，‌与编制说明、‌有关行政主管部门意见、‌征求意见采纳情况等材料一并报送标准化行政主管部门（江苏省市场监督管理局）进行技术审查。通过送审稿专家审查后，‌针对审查专家意见进行修改，‌完成报批稿。‌这一阶段对标准稿进行最终修改，‌以确保符合所有相关法规和标准的要求，‌为标准的正式发布做准备。‌四、主要内容及技术指标确立编制单位结合近年来省内外政务云商用密码应用安全性评估工作进行了总结分析，通过实地调研、专家研讨和文件查阅等方式，确定了标准的主要内容和相关的技术指标。从密评相关法律法规及政策出发，紧密结合《江苏省政务“一朵云”建设总体方案》相关要求，集省密码管理部门、业务应用用户（政府部门）、密评机构和密码厂商多方意见，同时依据新建项目审核情况、密评业务咨询情况、备案结果情况分析确立本标准具体内容。1.评估框架评估对象：政务云基础设施按照保护主体一般包括物理环境设施、网络通信设施、政务云资源设施、密码基础设施、网络安全设施以及云租户/政务信息系统。评估阶段：规划阶段、建设阶段和运行阶段。评估类型：方案评估和系统评估。2.评估指南规划阶段：规定了规划阶段应进行方案评估。给出了方案评估过程中涉及的评估对象、评估依据、评估流程、评估内容、参与主体、输出成果及评估结论。建设阶段：规定了投入正式运行前应进行系统评估。给出了系统评估过程中涉及的评估对象、评估依据、评估流程、评估步骤、参与主体、输出成果及评估结论。运行建设阶段：规定了运行建设阶段方案评估要求和系统评估周期要求。给出了评估结果应用和结果备案指导。五、与法律法规和相关标准的关系本标准遵守现行法律法规，并和强制性标准相协调一致。本标准制定中未采用国际标准，文中规范性引用的国家标准、行业标准均为政务云密码应用安全性评估提供了相关依据。江苏省地方标准《政务“一朵云”安全管理体系规范第3部分密码应用安全性评估》》（DB32/TXXX—2024）规定了政务云基础设施商用密码应用安全性评估程序和要求，提出评估框架，在政务云基础设施建设、规划及运行阶段的密评要求，并给出了评估结果应用和结果备案指导。六、作为推荐性或强制性标准的建议建议作为推荐性标准发布实施。七、预期效果及贯彻实施标准的要求、措施等建议标准实施过程中加强标准宣贯指导工作，制定标准宣传培训计划，组织标准宣贯培训工作。本标准发布后，召开专题培训会，对全省政务“一朵云”密码应用安全性评估进行标准解读，对标准文件适用场景进行宣贯并推广应用。召开全省政务云等基础设施密评工作推进会议，调研13个设区市政务云等基础设施密码应用安全性评估工作落实情况，分析研究标准执行情况，汇总后召开分析