| 标准编号 | GB/T 43206-2023 (GB/T43206-2023) | | 中文名称 | 信息安全技术 信息系统密码应用测评要求 | | 英文名称 | Information security technology - Testing and evaluation requirements for information system cryptography application | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 46,436 | | 发布日期 | 2023-09-07 | | 实施日期 | 2024-04-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 43206-2023: 信息安全技术 信息系统密码应用测评要求
ICS 35.030
CCSL80
中华人民共和国国家标准
信息安全技术
信息系统密码应用测评要求
2023-09-07发布
2024-04-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 通则 2
5 通用测评要求 3
5.1 密码算法 3
5.2 密码技术 3
5.3 密码产品 3
5.4 密码服务 4
5.5 密钥管理 4
6 技术测评要求 4
6.1 物理和环境安全 4
6.2 网络和通信安全 7
6.3 设备和计算安全 10
6.4 应用和数据安全 14
7 管理测评要求 20
7.1 管理制度 20
7.2 人员管理 22
7.3 建设运行 25
7.4 应急处置 27
8 整体测评要求 29
8.1 概述 29
8.2 单元间测评 29
8.3 层面间测评 29
9 风险分析和评价 29
10 测评结论 29
附录A(资料性) 密钥生存周期管理检查要点 31
附录B(资料性) 典型密码功能测评技术 35
附录C(资料性) 典型密码产品应用测评技术 38
参考文献 41
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:国家密码管理局商用密码检测中心、中国科学院信息工程研究所、公安部第三研
究所、国家信息技术安全研究中心、中国电子科技集团公司第十五研究所、中国电子技术标准化研究院、
国家信息中心、工业和信息化部电子第五研究所、中国科学院软件研究所、北京市政务信息安全保障中
心(北京信息安全测评中心)、北京国家数字金融技术检测中心有限公司、深圳市网安计算机安全检测技
术有限公司、道普信息技术有限公司、国电南京自动化股份有限公司、浙江东安检测技术有限公司、北京
银联金卡科技有限公司、智巡密码(上海)检测技术有限公司、哈尔滨工业大学(深圳)、安徽科测信息技
术有限公司、新疆量子通信技术有限公司。
本文件主要起草人:罗鹏、肖秋林、马原、张立花、许长伟、陈天宇、黄晶晶、郑昉昱、田敏求、王兵、
刘健、杨宏志、吴冬宇、陆臻、张宇翔、李升、任金强、黎水林、李大为、李宏卓、张五一、张晓溪、杨辰、
蔡一鸣、孙鑫、高锐、吕娜、宋玲娓、郭守坤、何双羽、杨龙、李霞、王国朝、胡盖、胡燕雄、沈汀、张绍博、
韩玮。
信息安全技术
信息系统密码应用测评要求
1 范围
本文件规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要
求,并给出了整体测评要求、风险分析和评价、测评结论的要求。
注:本文件描述的信息系统密码应用等级与GB/T 39786-2021规定的密码应用等级一致,其中第五级密码应用的
测评要求不在本文件中描述。
本文件适用于指导、规范信息系统密码应用安全性评估工作中的测评活动。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069-2022 信息安全技术 术语
GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求
GM/Z4001 密码术语
3 术语和定义
GB/T 25069-2022、GB/T 39786-2021和 GM/Z4001界定的以及下列术语和定义适用于本
文件。
3.1
通过国家密码管理部门认可的考核或具有密码技术应用员、密码工程技术人员职业技能等级证
书,从事密码应用安全性评估的人员。
注:简称“密评人员”。
3.2
核查 examine
密评人员对测评对象进行访谈、文档审查、实地查验和分析,以帮助密评人员理解、澄清或取得证据
的过程。
注:核查时可选用的测评方式以及方式的选用说明参考G......
|