《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》

根據(jù)《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》（以下簡(jiǎn)稱(chēng)《辦法》）（國(guó)辦發(fā)[2019]57號(hào)）密碼應(yīng)用與安全性評(píng)估要求，依據(jù)《中華人民共和國(guó)密碼法》及商用密碼管理規(guī)定，中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)組織編制的《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》（以下簡(jiǎn)稱(chēng)《工作指南》）（2020版）在日前發(fā)布，隨后，在《國(guó)家密碼管理局關(guān)于請(qǐng)進(jìn)一步加強(qiáng)國(guó)家政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作的函》中，國(guó)家密碼管理局函告相關(guān)單位，有關(guān)密碼應(yīng)用與安全性評(píng)估工作可參考《指南》。

本期密碼學(xué)堂，我們?cè)敿?xì)介紹《指南》。

《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》

公開(kāi)發(fā)布

一、基本情況

《指南》由中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)組織相關(guān)專(zhuān)家編制，可用于指導(dǎo)非涉密的國(guó)家政務(wù)信息系統(tǒng)建設(shè)單位和使用單位規(guī)范開(kāi)展商用密碼應(yīng)用與安全性評(píng)估工作，也可供政務(wù)信息系統(tǒng)集成單位和商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)參考。各級(jí)地方政務(wù)信息化項(xiàng)目建設(shè)單位和使用單位也可參照《指南》開(kāi)展相關(guān)工作。

正文部分分為三章，第一章為政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估實(shí)施過(guò)程指南，依據(jù)《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》和《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》，給出了政務(wù)信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行階段，項(xiàng)目建設(shè)單位和使用單位分別應(yīng)當(dāng)開(kāi)展的密碼應(yīng)用與安全性評(píng)估相關(guān)工作。第二章為政務(wù)信息系統(tǒng)密碼應(yīng)用措施指南，主要依據(jù)GM/T 0054《信息系統(tǒng)密碼應(yīng)用基本要求》（以下簡(jiǎn)稱(chēng)《基本要求》），介紹了密碼在政務(wù)信息系統(tǒng)中發(fā)揮的主要功能，并給出了密碼應(yīng)用措施方面的建議，可供項(xiàng)目建設(shè)單位結(jié)合自身實(shí)際進(jìn)行選擇和調(diào)整。第三章為政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估質(zhì)量保障指南，給出了項(xiàng)目建設(shè)單位和使用單位、系統(tǒng)集成單位、密評(píng)機(jī)構(gòu)在相關(guān)活動(dòng)中的質(zhì)量管理建議。此外，《指南》附錄1提供了密碼應(yīng)用方案模板，可供項(xiàng)目建設(shè)單位在設(shè)計(jì)編制密碼應(yīng)用方案時(shí)參考，附錄2提供了已發(fā)布的密碼國(guó)家標(biāo)準(zhǔn)和密碼行業(yè)標(biāo)準(zhǔn)目錄，附錄3選取政務(wù)信息系統(tǒng)中常見(jiàn)的電子公文處理系統(tǒng)，選擇最小業(yè)務(wù)場(chǎng)景，提煉基本密碼應(yīng)用需求，設(shè)計(jì)了一個(gè)精簡(jiǎn)的密碼應(yīng)用方案示例，可為相關(guān)單位編寫(xiě)密碼應(yīng)用方案提供思路參考。

二、政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估實(shí)施過(guò)程指南

（一）過(guò)程概述

《辦法》第十五條要求“項(xiàng)目建設(shè)單位應(yīng)當(dāng)落實(shí)國(guó)家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估”，即政務(wù)信息系統(tǒng)中的密碼保障系統(tǒng)應(yīng)做到“三同步一評(píng)估”，實(shí)施過(guò)程如下圖：

《辦法》所指項(xiàng)目建設(shè)單位、使用單位、審批部門(mén)、主管部門(mén)等承擔(dān)項(xiàng)目規(guī)劃、審批、建設(shè)和資金管理等職能部門(mén)中的密碼管理機(jī)構(gòu)，應(yīng)按職責(zé)做好相關(guān)項(xiàng)目密碼應(yīng)用與安全性評(píng)估工作的指導(dǎo)、評(píng)價(jià)、督促，對(duì)密碼應(yīng)用方案、密碼應(yīng)用安全性評(píng)估報(bào)告及相關(guān)工作質(zhì)量進(jìn)行把關(guān)，對(duì)密碼應(yīng)用、密碼保障系統(tǒng)建設(shè)、密評(píng)實(shí)施、整改時(shí)限等提出要求，向相關(guān)主責(zé)部門(mén)提出工作建議，有關(guān)情況及時(shí)向國(guó)家密碼管理部門(mén)報(bào)告。國(guó)家密碼管理部門(mén)將建立完善國(guó)家政務(wù)信息系統(tǒng)密碼應(yīng)用信息庫(kù)，對(duì)國(guó)家政務(wù)信息系統(tǒng)密碼應(yīng)用及其密評(píng)情況實(shí)施臺(tái)賬管理。

（二）規(guī)劃階段

在政務(wù)信息系統(tǒng)規(guī)劃階段，項(xiàng)目建設(shè)單位分析系統(tǒng)現(xiàn)狀，對(duì)系統(tǒng)面臨的安全風(fēng)險(xiǎn)和風(fēng)險(xiǎn)控制需求進(jìn)行分析，明確密碼應(yīng)用需求，跟進(jìn)系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)等級(jí)，依據(jù)《基本要求》等相關(guān)標(biāo)準(zhǔn)，參照密碼應(yīng)用方案模板，編制密碼應(yīng)用方案，從《商用密碼應(yīng)用安全性評(píng)估試點(diǎn)機(jī)構(gòu)目錄》（可通過(guò)訪問(wèn)“國(guó)家密碼管理局官方網(wǎng)站-通知公告-國(guó)家密碼管理局第40號(hào)公告”獲取）中選擇商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)（以下簡(jiǎn)稱(chēng)“密評(píng)機(jī)構(gòu)”）進(jìn)行密評(píng)。密碼應(yīng)用方案通過(guò)密評(píng)是項(xiàng)目立項(xiàng)的必要條件。

（三）建設(shè)階段

在政務(wù)信息系統(tǒng)建設(shè)階段，系統(tǒng)集成單位在項(xiàng)目建設(shè)單位的明確要求下按照通過(guò)密評(píng)的密碼應(yīng)用方案建設(shè)密碼保障系統(tǒng)，確保系統(tǒng)密碼應(yīng)用符合國(guó)家密碼管理部門(mén)要求。建設(shè)階段涉及密碼應(yīng)用方案調(diào)整優(yōu)化的，應(yīng)委托密評(píng)機(jī)構(gòu)再次對(duì)調(diào)整后的密碼應(yīng)用方案進(jìn)行確認(rèn)。系統(tǒng)建設(shè)完成后，項(xiàng)目建設(shè)單位委托密評(píng)機(jī)構(gòu)對(duì)系統(tǒng)開(kāi)展密評(píng)。系統(tǒng)通過(guò)密評(píng)是項(xiàng)目驗(yàn)收的必要條件。

未通過(guò)密評(píng)的政務(wù)信息系統(tǒng)，項(xiàng)目建設(shè)單位針對(duì)評(píng)估中發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改，整改完成后可請(qǐng)密評(píng)機(jī)構(gòu)進(jìn)行復(fù)評(píng)，更新評(píng)估結(jié)果，仍未通過(guò)的，不得通過(guò)項(xiàng)目驗(yàn)收。

（四）運(yùn)行階段

在政務(wù)信息系統(tǒng)運(yùn)行階段，項(xiàng)目使用單位定期委托密評(píng)機(jī)構(gòu)對(duì)系統(tǒng)開(kāi)展密評(píng)，網(wǎng)絡(luò)安全保護(hù)等級(jí)第三級(jí)及以上的政務(wù)信息系統(tǒng)，每年至少密評(píng)一次，可與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)等工作統(tǒng)籌考慮、協(xié)調(diào)開(kāi)展。

政務(wù)信息系統(tǒng)運(yùn)行期間的密碼應(yīng)用安全應(yīng)遵循持續(xù)改進(jìn)的原則，根據(jù)安全需求、系統(tǒng)脆弱性、風(fēng)險(xiǎn)威脅程度、系統(tǒng)環(huán)境變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等，及時(shí)檢查、總結(jié)、調(diào)整現(xiàn)有的密碼應(yīng)用措施，確認(rèn)系統(tǒng)各項(xiàng)密碼技術(shù)和管理措施是否落實(shí)到位。弱系統(tǒng)約束條件發(fā)生重要變化，必要時(shí)，項(xiàng)目使用單位需修訂密碼應(yīng)用方案，對(duì)系統(tǒng)進(jìn)行升級(jí)改造。運(yùn)行后的政務(wù)信息系統(tǒng)密評(píng)未通過(guò)的，項(xiàng)目使用單位按要求對(duì)系統(tǒng)進(jìn)行整改后再次開(kāi)展密評(píng)，整改期間項(xiàng)目使用單位應(yīng)保證系統(tǒng)的安全性。

三、政務(wù)信息系統(tǒng)密碼應(yīng)用措施指南

依據(jù)《基本要求》，結(jié)合當(dāng)前密碼技術(shù)、產(chǎn)品和服務(wù)的實(shí)際情況，給出了針對(duì)政務(wù)信息系統(tǒng)密碼應(yīng)用的措施建議。項(xiàng)目建設(shè)單位也可結(jié)合實(shí)際，自主選擇適合的密碼技術(shù)、產(chǎn)品和服務(wù)，以滿足相關(guān)密碼應(yīng)用要求。

總體上，項(xiàng)目建設(shè)單位需從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等四個(gè)層面采用密碼技術(shù)措施，建立安全的密鑰管理方案，并采取有效的安全管理措施，對(duì)政務(wù)信息系統(tǒng)進(jìn)行保護(hù)。政務(wù)信息系統(tǒng)需使用經(jīng)檢測(cè)認(rèn)證合格的商用密碼產(chǎn)品或服務(wù)，使用的商用密碼算法、技術(shù)應(yīng)用遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，沒(méi)有標(biāo)準(zhǔn)可遵循時(shí)刻提請(qǐng)國(guó)家密碼管理部門(mén)組織對(duì)相關(guān)算法、技術(shù)進(jìn)行安全性審查。政務(wù)信息系統(tǒng)采用電子認(rèn)證服務(wù)的，項(xiàng)目建設(shè)單位需選擇具有電子政務(wù)電子認(rèn)證服務(wù)資質(zhì)的機(jī)構(gòu)（機(jī)構(gòu)目錄可通過(guò)訪問(wèn)“國(guó)家密碼管理局官方網(wǎng)站-在線服務(wù)-行政審批結(jié)果查詢(xún)”獲?。?。

物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全及密鑰管理和安全管理方面的具體措施，可參見(jiàn)《指南》正文（點(diǎn)擊關(guān)注本公眾號(hào)，后臺(tái)回復(fù)“pgzn”，即可下載《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南（2020版）》完整版pdf資料。）

四、政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估質(zhì)量保障指南

針對(duì)國(guó)家政務(wù)信息系統(tǒng)建設(shè)、使用和集成單位等密碼應(yīng)用與安全性評(píng)估責(zé)任單位，開(kāi)展密碼應(yīng)用方案編制、密碼保障系統(tǒng)建設(shè)等活動(dòng)提出了質(zhì)量管理建議，同時(shí)提出了密評(píng)機(jī)構(gòu)實(shí)施密碼應(yīng)用安全性評(píng)估的規(guī)范性要求。

（一）項(xiàng)目建設(shè)單位和使用單位

項(xiàng)目建設(shè)單位需按照《指南》要求，在政務(wù)信息系統(tǒng)規(guī)劃階段，跟進(jìn)系統(tǒng)網(wǎng)絡(luò)安全保護(hù)等級(jí)，參照密碼應(yīng)用方案模板，編制政務(wù)信息系統(tǒng)密碼應(yīng)用方案，并委托密評(píng)機(jī)構(gòu)對(duì)密碼應(yīng)用方案進(jìn)行密評(píng)。在系統(tǒng)建設(shè)階段，項(xiàng)目建設(shè)單位應(yīng)要求并監(jiān)督系統(tǒng)集成單位按照通過(guò)密評(píng)的密碼應(yīng)用方案建設(shè)密碼保障系統(tǒng)，并在建設(shè)完成后，委托密評(píng)機(jī)構(gòu)對(duì)系統(tǒng)開(kāi)展密評(píng)。政務(wù)信息系統(tǒng)投入運(yùn)行后，項(xiàng)目使用單位應(yīng)委托密評(píng)機(jī)構(gòu)定期對(duì)系統(tǒng)進(jìn)行密評(píng)。

編制政務(wù)信息系統(tǒng)密碼應(yīng)用方案應(yīng)遵循總體性、完備性、適用性等原則。

（二）系統(tǒng)集成單位

系統(tǒng)集成單位應(yīng)嚴(yán)格按照通過(guò)密評(píng)的密碼應(yīng)用方案開(kāi)展工程實(shí)施、建設(shè)密碼保障系統(tǒng)。

系統(tǒng)集成單位需做好系統(tǒng)建設(shè)過(guò)程中的質(zhì)量控制，明確系統(tǒng)建設(shè)實(shí)施的組織架構(gòu)、任務(wù)分工及人員安排，明確責(zé)任機(jī)構(gòu)和責(zé)任人。跟進(jìn)密碼應(yīng)用方案中的實(shí)施保障方案，明確密碼保障系統(tǒng)建設(shè)實(shí)施對(duì)象的邊界及密碼應(yīng)用范圍、任務(wù)要求，分析系統(tǒng)建設(shè)階段的重難點(diǎn)問(wèn)題，提出建設(shè)階段可能存在的風(fēng)險(xiǎn)點(diǎn)及應(yīng)對(duì)措施。系統(tǒng)集成單位需制定實(shí)施計(jì)劃，包含實(shí)施路線圖、進(jìn)度計(jì)劃、重要節(jié)點(diǎn)等，按照計(jì)劃確定實(shí)施步驟、分階段描述任務(wù)分工、實(shí)施主體、階段交付物等，并提供保障措施，包含系統(tǒng)建設(shè)階段的組織保障、人員保障、經(jīng)費(fèi)保障、質(zhì)量保障、監(jiān)督檢查等措施。

（三）密評(píng)機(jī)構(gòu)

密評(píng)機(jī)構(gòu)負(fù)責(zé)對(duì)政務(wù)信息系統(tǒng)的密碼應(yīng)用方案進(jìn)行密評(píng)，并對(duì)政務(wù)信息系統(tǒng)開(kāi)展密評(píng)。

密評(píng)機(jī)構(gòu)對(duì)政務(wù)信息系統(tǒng)的密碼應(yīng)用方案進(jìn)行密評(píng)時(shí)，需依據(jù)《基本要求》等標(biāo)準(zhǔn)要求，分析密碼應(yīng)用方案是否對(duì)政務(wù)信息系統(tǒng)中需要保護(hù)的資產(chǎn)、數(shù)據(jù)提供了體系化、完備、適用的密碼保障措施。若政務(wù)信息系統(tǒng)密碼應(yīng)用方案中存在不適用指標(biāo)，需對(duì)不適用指標(biāo)及其論證材料進(jìn)行評(píng)估，審核不適用的具體原因的合理性，并審核是否存在可滿足安全要求并達(dá)到等效控制的其他替代性風(fēng)險(xiǎn)控制措施。

密評(píng)機(jī)構(gòu)對(duì)政務(wù)信息系統(tǒng)開(kāi)展密評(píng)時(shí)，需依據(jù)《基本要求》《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》《信息系統(tǒng)密碼產(chǎn)品要求（試行）》《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)過(guò)程指南（試行）》《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)作業(yè)指導(dǎo)書(shū)（試行）》等標(biāo)準(zhǔn)規(guī)范、指導(dǎo)性文件及管理要求，對(duì)照通過(guò)密評(píng)的密碼應(yīng)用方案，核查不適用指標(biāo)的條件是否成立、替代性風(fēng)險(xiǎn)控制措施是否落實(shí)，從而確定適用和不適用的測(cè)評(píng)指標(biāo)，然后從總體要求、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、密鑰管理、安全管理等方面開(kāi)展評(píng)估，根據(jù)政務(wù)信息系統(tǒng)當(dāng)前的安全狀況，給出評(píng)估結(jié)果并提出有針對(duì)性的整改建議。

內(nèi)容來(lái)源：《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》（2020版），中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)