《政务信息系统密码应用与安全性评估工作指南》

根据《国家政务信息化项目建设管理办法》（以下简称《办法》）（国办发[2019]57号）密码应用与安全性评估要求，依据《中华人民共和国密码法》及商用密码管理规定，中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》（以下简称《工作指南》）（2020版）在日前发布，随后，在《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》中，国家密码管理局函告相关单位，有关密码应用与安全性评估工作可参考《指南》。

本期密码学堂，我们详细介绍《指南》。

《政务信息系统密码应用与安全性评估工作指南》

公开发布

一、基本情况

《指南》由中国密码学会密评联委会组织相关专家编制，可用于指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作，也可供政务信息系统集成单位和商用密码应用安全性评估机构参考。各级地方政务信息化项目建设单位和使用单位也可参照《指南》开展相关工作。

正文部分分为三章，第一章为政务信息系统密码应用与安全性评估实施过程指南，依据《国家政务信息化项目建设管理办法》和《商用密码应用安全性评估管理办法（试行）》，给出了政务信息系统规划、建设、运行阶段，项目建设单位和使用单位分别应当开展的密码应用与安全性评估相关工作。第二章为政务信息系统密码应用措施指南，主要依据GM/T 0054《信息系统密码应用基本要求》（以下简称《基本要求》），介绍了密码在政务信息系统中发挥的主要功能，并给出了密码应用措施方面的建议，可供项目建设单位结合自身实际进行选择和调整。第三章为政务信息系统密码应用与安全性评估质量保障指南，给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。此外，《指南》附录1提供了密码应用方案模板，可供项目建设单位在设计编制密码应用方案时参考，附录2提供了已发布的密码国家标准和密码行业标准目录，附录3选取政务信息系统中常见的电子公文处理系统，选择最小业务场景，提炼基本密码应用需求，设计了一个精简的密码应用方案示例，可为相关单位编写密码应用方案提供思路参考。

二、政务信息系统密码应用与安全性评估实施过程指南

（一）过程概述

《办法》第十五条要求“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估”，即政务信息系统中的密码保障系统应做到“三同步一评估”，实施过程如下图：

《办法》所指项目建设单位、使用单位、审批部门、主管部门等承担项目规划、审批、建设和资金管理等职能部门中的密码管理机构，应按职责做好相关项目密码应用与安全性评估工作的指导、评价、督促，对密码应用方案、密码应用安全性评估报告及相关工作质量进行把关，对密码应用、密码保障系统建设、密评实施、整改时限等提出要求，向相关主责部门提出工作建议，有关情况及时向国家密码管理部门报告。国家密码管理部门将建立完善国家政务信息系统密码应用信息库，对国家政务信息系统密码应用及其密评情况实施台账管理。

（二）规划阶段

在政务信息系统规划阶段，项目建设单位分析系统现状，对系统面临的安全风险和风险控制需求进行分析，明确密码应用需求，跟进系统的网络安全保护等级，依据《基本要求》等相关标准，参照密码应用方案模板，编制密码应用方案，从《商用密码应用安全性评估试点机构目录》（可通过访问“国家密码管理局官方网站-通知公告-国家密码管理局第40号公告”获取）中选择商用密码应用安全性评估机构（以下简称“密评机构”）进行密评。密码应用方案通过密评是项目立项的必要条件。

（三）建设阶段

在政务信息系统建设阶段，系统集成单位在项目建设单位的明确要求下按照通过密评的密码应用方案建设密码保障系统，确保系统密码应用符合国家密码管理部门要求。建设阶段涉及密码应用方案调整优化的，应委托密评机构再次对调整后的密码应用方案进行确认。系统建设完成后，项目建设单位委托密评机构对系统开展密评。系统通过密评是项目验收的必要条件。

未通过密评的政务信息系统，项目建设单位针对评估中发现的安全问题及时整改，整改完成后可请密评机构进行复评，更新评估结果，仍未通过的，不得通过项目验收。

（四）运行阶段

在政务信息系统运行阶段，项目使用单位定期委托密评机构对系统开展密评，网络安全保护等级第三级及以上的政务信息系统，每年至少密评一次，可与关键信息基础设施安全检测评估、网络安全等级测评等工作统筹考虑、协调开展。

政务信息系统运行期间的密码应用安全应遵循持续改进的原则，根据安全需求、系统脆弱性、风险威胁程度、系统环境变化以及对系统安全认识的深化等，及时检查、总结、调整现有的密码应用措施，确认系统各项密码技术和管理措施是否落实到位。弱系统约束条件发生重要变化，必要时，项目使用单位需修订密码应用方案，对系统进行升级改造。运行后的政务信息系统密评未通过的，项目使用单位按要求对系统进行整改后再次开展密评，整改期间项目使用单位应保证系统的安全性。

三、政务信息系统密码应用措施指南

依据《基本要求》，结合当前密码技术、产品和服务的实际情况，给出了针对政务信息系统密码应用的措施建议。项目建设单位也可结合实际，自主选择适合的密码技术、产品和服务，以满足相关密码应用要求。

总体上，项目建设单位需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用密码技术措施，建立安全的密钥管理方案，并采取有效的安全管理措施，对政务信息系统进行保护。政务信息系统需使用经检测认证合格的商用密码产品或服务，使用的商用密码算法、技术应用遵循密码相关国家标准和行业标准，没有标准可遵循时刻提请国家密码管理部门组织对相关算法、技术进行安全性审查。政务信息系统采用电子认证服务的，项目建设单位需选择具有电子政务电子认证服务资质的机构（机构目录可通过访问“国家密码管理局官方网站-在线服务-行政审批结果查询”获取）。

物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全及密钥管理和安全管理方面的具体措施，可参见《指南》正文（点击关注本公众号，后台回复“pgzn”，即可下载《政务信息系统密码应用与安全性评估工作指南（2020版）》完整版pdf资料。）

四、政务信息系统密码应用与安全性评估质量保障指南

针对国家政务信息系统建设、使用和集成单位等密码应用与安全性评估责任单位，开展密码应用方案编制、密码保障系统建设等活动提出了质量管理建议，同时提出了密评机构实施密码应用安全性评估的规范性要求。

（一）项目建设单位和使用单位

项目建设单位需按照《指南》要求，在政务信息系统规划阶段，跟进系统网络安全保护等级，参照密码应用方案模板，编制政务信息系统密码应用方案，并委托密评机构对密码应用方案进行密评。在系统建设阶段，项目建设单位应要求并监督系统集成单位按照通过密评的密码应用方案建设密码保障系统，并在建设完成后，委托密评机构对系统开展密评。政务信息系统投入运行后，项目使用单位应委托密评机构定期对系统进行密评。

编制政务信息系统密码应用方案应遵循总体性、完备性、适用性等原则。

（二）系统集成单位

系统集成单位应严格按照通过密评的密码应用方案开展工程实施、建设密码保障系统。

系统集成单位需做好系统建设过程中的质量控制，明确系统建设实施的组织架构、任务分工及人员安排，明确责任机构和责任人。跟进密码应用方案中的实施保障方案，明确密码保障系统建设实施对象的边界及密码应用范围、任务要求，分析系统建设阶段的重难点问题，提出建设阶段可能存在的风险点及应对措施。系统集成单位需制定实施计划，包含实施路线图、进度计划、重要节点等，按照计划确定实施步骤、分阶段描述任务分工、实施主体、阶段交付物等，并提供保障措施，包含系统建设阶段的组织保障、人员保障、经费保障、质量保障、监督检查等措施。

（三）密评机构

密评机构负责对政务信息系统的密码应用方案进行密评，并对政务信息系统开展密评。

密评机构对政务信息系统的密码应用方案进行密评时，需依据《基本要求》等标准要求，分析密码应用方案是否对政务信息系统中需要保护的资产、数据提供了体系化、完备、适用的密码保障措施。若政务信息系统密码应用方案中存在不适用指标，需对不适用指标及其论证材料进行评估，审核不适用的具体原因的合理性，并审核是否存在可满足安全要求并达到等效控制的其他替代性风险控制措施。

密评机构对政务信息系统开展密评时，需依据《基本要求》《商用密码应用安全性评估管理办法（试行）》《信息系统密码产品要求（试行）》《商用密码应用安全性评估测评过程指南（试行）》《商用密码应用安全性评估测评作业指导书（试行）》等标准规范、指导性文件及管理要求，对照通过密评的密码应用方案，核查不适用指标的条件是否成立、替代性风险控制措施是否落实，从而确定适用和不适用的测评指标，然后从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等方面开展评估，根据政务信息系统当前的安全状况，给出评估结果并提出有针对性的整改建议。

内容来源：《政务信息系统密码应用与安全性评估工作指南》（2020版），中国密码学会密评联委会