(1)背景
《GBT39786-2021 信息系统密码应用基本要求》中第1-4级密码应用基本要求均包括“应依据相关标准和密码应用需求,制定密码应用方案”。第1-4级密码应用基本要求对于“投入运行前进行密码应用安全性评估”的具体如下。
第一级:投入运行前可进行密码应用安全性评估。
第二级:投入运行前宜进行密码应用安全性评估。
第三级:投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行。
第四级:投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行。
《GBT43206-2023 信息系统密码应用测评要求》中第1-4级密码应用测评要求均包括“核查在信息系统规划阶段,是否依据信息系统密码应用需求和密码相关标准,制定密码应用方案,并核查方案是否通过评估”。第1-4级密码应用测评要求对于“投入运行前进行密码应用安全性评估”的具体如下。
第一/二级:核查信息系统投入运行前,是否组织进行密码应用安全性评估;核查是否具有系统投入前编制的密码应用安全性评估报告。
第三/四级:核查信息系统投入运行前,是否组织进行密码应用安全性评估;核查是否具有系统投入前编制的密码应用安全性评估报告且系统通过评估。
综上,第1-4级信息系统开展密码应用方案评估和投入运行前密评的要求可总结如下。
| 信息系统等级 | 密码应用方案评估 | 投入运行前密评 |
| 第一级 | 应制定方案且通过评估 | 可评估、具备报告后运行 |
| 第二级 | 应制定方案且通过评估 | 宜评估、具备报告后运行 |
| 第三级 | 应制定方案且通过评估 | 应评估、报告通过后运行 |
| 第四级 | 应制定方案且通过评估 | 应评估、报告通过后运行 |
(2)密码应用方案测评要点
最新密码应用方案模板可参考。信息系统密码应用方案模板(GBT 43207-2023版本)-CSDN博客文章浏览阅读678次,点赞15次,收藏9次。按照GB/T 39786中物理和环境安全对应等级的密码应用基本要求和实际环境的具体需求,对信息系统所在的机房等重要区域、电子门禁记录数据和视频监控记录数据进行密码应用设计,包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。按照GB/T 39786中设备和计算安全对应等级的密码应用基本要求和实际环境的具体需求,对需要保护的对象进行密码应用设计,包括选择的密码技术和标准,设计必要的数据结构、采用的密码设备或模块、密码设备的部署位置和方式、密码设备的使用和管理内容。https://blog.csdn.net/ryanzzzzz/article/details/137073430
| 测评活动 | 审核对象 | 审核实施内容 | 结果判定 |
| 形式审核 (若对应审核条目,方案给出的内容存在严重缺失或者可用性差,方案评估人员无法依据方案有根据地实施评估,则判定为“不符合”。其他情况则为“符合”或“部分符合”) | 方案文本 | 对照GBT43206-2023 附录A逐条审核内容完整性(具体参考模板内容要求)。 | 符合/基本符合/不符合 |
| 方案文本 | 逐条审核以下内容的一致性: (1)部署网络拓扑图、密码应用安全需求与安全控制措施; (2)部署网络拓扑图标识的商用密码产品与系统密码软硬件产品清单; (3)技术框架与密码应用四个安全层面的设计; (4)合规性自查表列出的指标项与GBT39786-2021附录A相应密评等级的要求; (5)合规性自查表指标适用情况及论证说明合理且与密码应用场景一致; (6)合规性自查表描述的安全控制措施与密码应用部署网络拓扑图一致。 | 符合/基本符合/不符合 | |
| 方案文本 | 逐条审核文本规范性: (1)文字畅通,不存在影响阅读和理解的漏字、错别字、排版错误等问题; (2)涉及密码应用场景、密码应用需求分析和采取安全控制措施的内容,应表述清晰、无歧义; (3)涉及的密码技术专业术语使用准确。 | 符合/基本符合/不符合 | |
| 实质审核 (若对应审核条目,方案给出的内容缺少必要的审核对象或审核对象的内容严重缺失、或者存在严重错误,影响方案评估人员实施评估;或者实施保障措施不合理,导致方案不能正常实施,则判定为“不符合”。其他情况则为“符合”或“部分符合”) | 密码应用现状 | 逐条审核以下内容: (1)系统网络边界划分清晰; (2)所有跨网络访问的通信信道明确标识,各类通道的用户与数据逻辑关系明确; (3)系统承载业务功能描述清晰,业务应用描述清晰、完备; (4)用户类型全部清晰识别,并明确使用场景; (5)明确系统信息种类,并识别业务、管理、用户等关键数据类型及安全属性; (6)清晰描述现有安全防护措施并分析密码应用方面存在的问题。 | 符合/基本符合/不符合 |
| 密码应用保护对象 | 正确识别各安全层面的所有保护对象,选取无遗漏: (1)物理和环境安全层面保护对象; (2)网络和通信安全层面保护对象; (3)设备和计算安全层面保护对象; (4)应用和数据安全层面保护对象; (5)密钥管理保护对象。 | 符合/基本符合/不符合 | |
| 密码应用需求及控制措施 | 逐条审核以下内容: (1)结合系统应用场景,具体分析各层面的安全风险; (2)密码应用需求清晰、准确、完备,并准确识别所有关键数据保护的真实性、机密性、完整性、不可否认性; (3)安全控制措施满足密码应用需求,并具有合理性、可行性,不存在高风险项; (4)所有密钥类型和安全需求被准确识别,密钥管理机制有效; (5)合规性自查表应准确描述相关安全控制措施; (6)合规性自查表不适用项论证说明应充分、合理,且给出替代性风险控制措施; (7)密码产品按安全控制措施合理部署。 | 符合/基本符合/不符合 | |
| 实施保障措施 | 逐条审核以下内容: (1)实施保障方案合理。措施完备、有效,具备保障方案落地的流程和关键要素; (2)费用经济、适中。采用商用密码产品和服务符合实际情况,满足安全需求,且不出现因过度保护而增加额外费用; (3)实施保障方案可行。 | 符合/基本符合/不符合 | |
| 指标评估 (根据评估核查实施取得的证据,判定信息系统的密码应用是否满足某个测评指标要求的方法和原则。如果评估单元中存在一个判定结果为“不通过”的评估对象,则该评估单元评估结论为“不通过”) | 身份鉴别 | 针对所适用的评估对象,逐项核查评估以下内容: (1)审核是否满足密码算法和技术的合规性; (2)审核是否采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术进行身份鉴别; (3) 审核真实性实现机制是否正确、有效。 (4)若采取了缓解替代性风险控制措施,审核其措施是否能够有效控制风险。 | 通过/不通过 |
| 机密性 | 针对所适用的评估对象,逐项核查评估以下内容: (1)审核是否满足密码算法和技术的合规性; (2)审核是否采用密码技术的加解密功能对重要数据在传输或存储过程中进行机密性保护; (3)审核机密性保护机制是否正确、有效; (4)若采取了缓解替代性风险控制措施,审核其措施是否能够有效控制风险。 | 通过/不通过 | |
| 完整性 | 针对所适用的评估对象,逐项核查评估以下内容: (1)审核是否满足密码算法和技术的合规性; (2)审核是否采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对重要数据进行完整性保护; (3)审核完整性保护机制是否正确和有效; (4)若采取了缓解替代性风险控制措施,审核其措施是否能够有效控制风险。 | 通过/不通过 | |
| 不可否认性 | 针对所适用的评估对象,逐项核查评估以下内容: (1)审核是否满足密码算法、技术和密码服务的合规性; (2)审核应用系统是否采用基于公钥密码算法的数字签名机制等密码技术对数据原发行为和接收行为实现不可否认性; (3)审核不可否认性实现机制是否正确和有效; (4)若采取了缓解替代性风险控制措施,审核其措施是否能够有效控制风险。 | 通过/不通过 | |
| 密钥管理 | 针对所适用的评估对象,逐项核查评估以下内容: (1)审核是否满足密码产品和服务的合规性; (2)核查密钥应用安全管理的密码算法、密码技术实现设计是否正确、有效; (3)核查方案给出的密钥体系中的密钥(除公钥外)是否不能被非授权的访问、使用、泄露、修改和替换,公钥是否不能被非授权的修改和替换。 | 通过/不通过 | |
| 管理制度 | 逐项核查评估以下内容: (1)管理制度章节应包含密码应用安全管理制度或已明确相关要求; (2)管理制度章节应包含密钥管理规则; (3)管理制度章节应包含建立操作规程; (4)管理制度章节应包含定期修订安全管理制度; (5)管理制度章节应包含明确管理制度发布流程。 | 通过/不通过 | |
| 人员管理 | 逐项核查评估以下内容: (1)人员管理章节应包含密码管理制度; (2)人员管理章节应包含密码应用岗位责任制度; (3)人员管理章节应包含上岗人员培训制度; (4)人员管理章节应包含安全岗位人员考核制度; (5)人员管理章节应包含关键岗位人员保密制度和调离制度。 | 通过/不通过 | |
| 建设运行 | 逐项核查评估以下内容: (1)建设运行章节应包含密钥安全管理策略; (2)建设运行章节应包含制定实施方案; (3)建设运行章节应要求投入运行前进行密码应用安全性评估; (4)投入运行前进行密码应用安全性评估,评估通过后系统方可正式运行; (5)建设运行章节应要求定期开展密码应用安全性评估及攻防对抗演习。 | 通过/不通过 | |
| 应急处置 | 逐项核查评估以下内容: (1)应急处置章节应包含密码应用应急策略; (2)应急处置章节应包含信息系统密码安全事件应急处置办法; (3)应急处置办法应包含事件发生后,及时向信息系统主管部门进行报告的要求; (4)应急处置办法应包含事件处置完成后,及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况的要求。 | 通过/不通过 | |
| 初步量化评估 | 按照初步量化评估方法(具体后说明)逐步计算测评对象量化评估值、测评单元量化评估值、安全层面的量化评估值,最后得到整体量化评估值。 说明:初步量化评估方法是在《商用密码应用安全性评估量化评估规则》基础上根据密码应用方案评估的特点做如下适配。 (1)评估密码应用设计的正确性,替代评估密码使用的有效性D; (2)评估密钥管理制度和密钥管理机制,替代评估密钥管理安全K; (3)评估安全管理制度,替代评估安全管理制度及其落实情况; (4)其他规则均保持不变。 | 达到阈值/低于阈值 | |
| 结论判定 | 形式审核和实质审核不存在“不符合”,指标评估中所有技术评估和管理评估的单元评估结果均为“通过”,且初步量化评估分数能够达到阈值要求,则方案评估结论为“通过”;否则为“不通过”。 | 通过/不通过 | |
(3)密码应用方案测评过程
| 阶段活动 | 任务 | 输入文档 | 输出文档 | 输出文档内容 |
| 评估准备 | 项目启动 | 委托书或者协议书 | 评估计划 | 时间、人员安排等 |
| 信息收集 | 《系统基本信息表》模板 | 《系统个基本信息表》 | 单位地址基本信息、相关负责人基本信息、系统名称、方案名称、网络安全等级保护定级情况、备案号、密码应用方案等 | |
| 评估修正 | 评估方案 | 密码应用方案 | 《问题记录表》 | 密码应用方案存在问题的所在位置、问题描述、问题级别、整改建议等 |
| 修正方案 | 《问题记录表》 | 修正的密码应用方案 | 整改后的密码应用方案内容 | |
| 确认方案 | 修正的密码应用方案 | 确认后的密码应用方案 | 确认后的密码应用方案内容 | |
| 安全性审查 | 安全性审查 | 密码应用方案 | 安全性审查意见 | 审查结论、关于方案的整改建议 |
| 说明:如果方案中使用了包含非标准算法、协议的未经认证产品或服务而导致无法评估时,宜启动安全性审查。由委托单位提出申请,密码管理部门组织安全性审查。 | ||||
| 报告编制 | 编写报告 | 《系统基本信息表》、《问题记录表》、安全性审查意见(可选)、密码应用方案 | 初步的方案评估报 告 | 系统基本信息、密码应用需求、概述密码应用措施、指标适用性情况、问题整改情况、评估结论等 |
| 确认报告 | 初步的方案评估报告 | 委托单位确认的方案评估报告 | 方案编制方、委托单位确认的无误的报告内容 | |
| 审核报告 | 委托单位确认的方案评估报告、密码应用方案 | 报告审核意见、审核通过的方案评估报告 | 方案或报告中存在的问题、审核结论、审核签字 | |
| 输出报告 | 审核通过的方案评估报告 | 正式的方案评估报告 | 最终确认无误的报告内容 | |
| 方案变更评估 | 确认变更内容 | 密码应用文件 | 《密码应用方案变更评估文件》 | 密码应用方案变更原因、变更内容、包括与原方案对比、系统责任人签字、系统责任人所在组织印章 |
| 出具评估意见 | 《密码应用方案变更评估文件》、变更后的密码应用方案 | 出具评估意见的《密码应用方案变更评估文件》 | 评估人员的评估意见、评估时间、评估人员签字 | |
| 说明:密码应用方案评估完成后,如果委托单位对密码应用方案进行了关键性的更改,当前阶段的方案评估方应根据密码应用方案的变更情况出具评估意见,并根据评估意见确定是否重新开展方案整体评估工作。 | ||||
