ICS35.040 L80 备案号： T/GDCCA 0002-2022 信息系统密码应用方案评估 过程指南 Evaluation Process GuideforInformation SystemCryptography Application Scheme 2022-05-19发布 2022-06-01实施 广东省商用密码协会 发 布广 东 省 密 码 团 体 标 准 GDCCA 全国团体标准信息平台 GDCCA全国团体标准信息平台 T/GDCCA 0002-2022 I目 次 前言.................................................................... II 引言................................................................... III 1范围.................................................................. 1 2规范性引用文件 ........................................................ 1 3术语和定义 ............................................................. 1 4总体要求 .............................................................. 2 4.1基本原则 ........................................................ 2 4.2方案评估方要求 .................................................. 2 4.3信息泄露风险规避 ................................................ 2 4.4方案评估过程 .................................................... 2 5评估准备 .............................................................. 3 5.1工作内容 ........................................................ 3 5.2主要任务 ........................................................ 3 5.3输入输出物 ...................................................... 3 6评估修正 .............................................................. 4 6.1工作内容 ........................................................ 4 6.2主要任务 ........................................................ 4 6.3输入输出物 ...................................................... 5 7安全性审查 ............................................................ 5 7.1工作内容 ........................................................ 5 7.2主要任务 ........................................................ 5 7.3输入输出物 ...................................................... 5 8报告编制 .............................................................. 5 8.1工作内容 ........................................................ 5 8.2主要任务 ........................................................ 6 8.3输入输出物 ...................................................... 6 9方案变更评估 .......................................................... 7 9.1工作内容 ........................................................ 7 9.2主要任务 ........................................................ 7 9.3输入输出物 ...................................................... 8 附 录 A.............................................................. 9 附 录 B............................................................. 10 附 录 C............................................................. 11 附 录 D............................................................. 12 参 考 文 献 ........................................................ 13 GDCCA 全国团体标准信息平台 T/GDCCA 0002-2022 II前言 本文件根据 GB/T1.1-2020 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由广东省商用密码协会 （T/GDCCA ）提出并归口。 本文件起草单位 ：广州竞远安全技术股份有限公司 、深圳市网安计算机安全检测技术有 限公司、工业和信息化部电子第五研究所 、鼎铉商用密码测评技术 (深圳)有限公司 、北京数 字认证股份有限公司、信安神州科技（广州）有限公司、华南农业大学。 本文件主要起草人 ：王正临、梁承东、薛涛、艾志娟、胡之斐、刘江、谭波、黄琼、葛 强、洪跃腾、唐启楠、高锐、尤博、陈磊、孙少波。 本文件及其所代替文件的历次版本发布情况为： 本文件首次发布。 GDCCA 全国团体标准信息平台 T/GDCCA 0002-2022 III引言 密码应用方案评估目前缺少完整的指导性文件 ，在流程、方法、专家评审等方面急需一 份过程指南。 本文件的制定参考了广东省省级政务信息化项目商用密码应用工作指引提出的推进省 级政务信息化项目密码应用工作要求。 本文件的制定参考了行业内密码应用方案评估的总体流程和活动 ，因此该文件对不同商 用密码测评组织开展密码应用方案评估具有兼容性和指导性作用。 本文件的制定 基于密码法、 GB/T39786-2021、GM/T0115-202 1、GM/T0116-2021 等相 关法律法规 和标准规范 ，对密码应用方案评估过程中涉及的活动 、流程、阶段性输入输出物 等进行了明确的定义，是一类规范性标准文件。 GDCCA 全国团体标准信息平台 GDCCA全国团体标准信息平台 T/GDCCA 0002-2022 1信息系统密码应用方案评估过程指南 1范围 本文件规范了信息系统密码应用方案的评估过程、 评估活动的工作内容及主要工作任务。 本文件适用于信息系统密码应用方案评估方开展密码应用方案评估工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注日期 的引用文件 ，仅该日期对应的版本适用于本文件； 不注日期的引用文件 ，其最新版本 （包括 所有的修改单）适用于本文件。 GB/T39786-2021 信息安全技术 信息系统密码应用基本要求 T/GDCCA 0001-2022信息系统密码应用方案评估要点 商用密码应用安全性评估报告模板（ 2021版）-方案密评报告 3术语和定义 GM/Z4001-2013 界定的以及下列的术语和定义适用本文件。 3.1 密码应用方案评估 evaluation forcryptography application scheme 方案评估方对信息系统密码应用方案开展审查 ，给出建议 ，并出具相关报告的过程 。以 下简称“方案评估 ”。 3.2 委托单位 entrust organization 委托方案评估方开展方案评估的单位。 3.3 方案评估方 organization ofschemeevaluation 接受委托单位委托 ，实施方案评估的机构或团体 ，包括商用密码安全性评估机构和信息 系统责任单位自行或者委托组织的专家组。 3.4 密码应用方案评估人员