ICS35.040 L80 备案号： T/GDCCA0001-2022 信息系统密码应用方案 评估规范 Evaluation Specification ofInformation System Cryptography Application Scheme 2022 -05-19发布 2022 -06-01实施 广东省商用密码协会 发 布广 东 省 密 码 团 体 标 准 GDCCA 全国团体标准信息平台 GDCCA全国团体标准信息平台 T/GDCCA 0001-2022 I目次 前言................................................................................. II 引言................................................................................ IV 1范围............................................................................... 1 2规范性引用文件 ..................................................................... 1 3术语和定义 ......................................................................... 1 4缩略语............................................................................. 1 5概述............................................................................... 2 6方法............................................................................... 2 6.1审核方法 ....................................................................... 2 6.2指标评估方法 ................................................................... 2 6.3初步量化评估方法 ............................................................... 3 6.4评估结论判定方法 ............................................................... 3 7形式审核 ........................................................................... 3 7.1内容完整性 ..................................................................... 3 7.2内容一致性 ..................................................................... 4 7.3文本规范性 ..................................................................... 4 8实质审核 ........................................................................... 4 8.1密码应用现状 ................................................................... 4 8.2密码应用保护对象 ............................................................... 5 8.3密码应用需求及控制措施 ......................................................... 5 8.4实施保障措施 ................................................................... 5 9指标评估 ........................................................................... 6 9.1技术评估 ....................................................................... 6 9.2管理评估 ...................................................................... 11 10初步量化评估 ..................................................................... 12 11评估结论 ......................................................................... 12 附录A（资料性）信息系统密码应用方案编制指引 ........................................ 13 附录B（资料性）高风险项 参考表...................................................... 15 参考文献...................................................................... 17 GDCCA 全国团体标准信息平台 T/GDCCA 0001-2022 II前  言 本文件根据 GB/T1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由广东省商用密码协会（ T/GDCCA）提出并归口。 本文件起草单位 ：深圳市网安计算机安全检测技术有限公司 、广州竞远安全技术股份有限公司 、工 业和信息化部电子第五研究所、鼎铉商用密码测评技术 (深圳)有限公司、北京数字认证股份有限公司、 信安神州科技 （广州）有限公司 、华测检测认证集团股份有限公司 、腾讯科技 （深圳）有限公司 、北京 数盾信息科技有限公司、北京海泰方圆科技股份有限公司。 本文件主要起草人： 薛涛、洪跃腾、 王正临、艾志娟、胡之斐、 唐启楠、孙少波、 谭波、梁承东、 刘江、高锐、尤博、陈磊、葛强、 彭洁瑶、张世栋、朱永进、李莲、谢灿、钟博、杨勇、付庆龙 。 本文件及其代替文件的历次版本发布情况为： 本文件首次发布。 GDCCA 全国团体标准信息平台 T/GDCCA 0001-2022 III GDCCA 全国团体标准信息平台 T/GDCCA 0001-2022 IV引  言 本文件依据 GB/T39786-2021 ，在GM/T0115-2021 基础上，结合广东省信息系统密码应用方案评 估工作实际 ，提出了密码应用方案评估要点 ，用于统一密码应用方案评估标准 ，规范实施密码应用方案 评估工作。 GDCCA 全国团体标准信息平台 T/GDCCA 0001-2022 1信息系统密码应用方案评估规范 1范围 本文件规定了 信息系统密码应用方案评估 的方法及 要点。适用于指导 、规范密码应用方案评估 方对 密码应用方案开展评估 工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于本 文件。 GB/T39786-2021 信息安全技术 信息系统密码应用基本要求 GM/T0115-2021 信息系统密码应用测评要求 《商用密码应用安全性评估量化评估规则》（中国密码学会密评联委会 2021年12月） 3术语和定义 GM/Z4001-2013 中界定的以及下列术语和定义适用于本文件。 3.1 密码应用方案评估 evaluation forcryptography application scheme 方案评估方对信息系统密码应用方案开展审查 ，给出建议 ，并出具相关报告的过程 。以下简称 “方 案评估”。 3.2 方案评估方 organization ofschemeevaluation 接受委托单位委托 ，实施方案评估的机构或团体 ，包括商用密码安全性评估机构和信息系统责任单 位自行或者委托组织的专家组。 3.3 方案编制方 organization ofschemecompilation 信息系统密码应用方案编制单位，负责方案的编写和修正工作。 3.4 密码应用方案评估人员 evaluator ofcryptography application scheme 信息系统密码应用方案评估方参与方案评估活动的实施人员。