7月17日,中国密码学会密评联委会组织修订了《商用密码应用安全性评估量化评估规则》,供相关单位开展商用密码应用与安全性评估工作参考。
《商用密码应用安全性评估量化评估规则》从2020年的首次制定,历经了2021年、2023年两次打磨修订,提高了密评量化评估规则的适用性、严谨性、科学性,推动了密评相关要求的落地。
此次修订内容如下:
| 修订项 | 2021版本原文 | 2023版本原文 | 差别 |
第一章 范围 | 本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。 | 本文件适用于规范信息系统密码应用安全性评估,以及指导相关信息系统的规划、建设等工作。 | 增加:适用于规范信息系统密码应用安全性评估 |
第三章 原则 | 3) 鼓励使用密码技术;特别鼓励使用合规的密码算法/技术/产品/服务。 | 3) 鼓励使用合规的密码算法/技术/产品/服务。 | 修订:强调使用合规的密码技术 |
第四章 量化评估框架 | 密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。 | 密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统 中使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或 通过国家密码管理部门审查鉴定。 | 修订:行政法规、国家有关规定和密码相关国家标准 |
第五章 量化评估规则 | ➽量化规则 | ➽更名为:量化评估规则 ➽修改各测评对象的测评结果量化评估规则和量化评估表, 增加密码算法/技术合规性修正参数和密钥管理安全修正参数,并增补《商用密码应用安全性评估报告模板(2023版)》中针对分值弥补的说明。 ➽修改整体测评结果量化评估规则, 固定密码应用技术要求和密码应用管理要求两部分分值。
| 修订: 1. 通过修改评分规则,强调密码算法、密码技术及密码产品的合规性。 2. 技术要求部分分值恒定为70分,管理制度分值恒定为30分 |
第六章 量化评估阈值 | 整体量化评估结果 S 为 100 分,则判定被测信息系统符合 GB/T 39786-2021 相应等级要 求;S 低于 100 分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本 符合 GB/T 39786-2021 相应等级要求;否则,判定被测信息系统不符合 GB/T 39786-2021 相 应等级要求。 | 采用本文件进行量化评估时,GM/T 0115—2021“9. 评估结论”中的得分阈值为60分。 | 修订:第六章内容修订为量化评估阈值,并对得分阈值进行说明。 |
中国密码学会发布《商用密码应用安全性评估量化评估规则》2023原文链接:https://www.cacrnet.org.cn/site/content/1361.html
声明:本文来自CAICT密码应用研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
