政务领域政务服务平台密码应用与安全性评估实施指南.docx
《政务领域政务服务平台密码应用与安全性评估实施指南.docx》由会员分享,可在线阅读,更多相关《政务领域政务服务平台密码应用与安全性评估实施指南.docx(39页珍藏版)》请在优知文库上搜索。
1、前言II场景概述11.1 场景相关政策要求11.2 典型场景介绍21.2.1 场景代表性21.2.2 政务服务平台场景介绍31.3 技术标准和指导性文件62密码应用需求72.1 风险分析和安全需求72.1.1 物理和环境安全72.1.2 网络和通信安全72.1.3 设备和计算安全82.1.4 应用和数据安全92.1.5 安全管理102.1.6 主要保护对象102.2 场景对密码应用的特殊要求143密码应用实施指南143.1 典型场景业务的密码应用设计143.1.1 物理和环境安全153.1.2 网络和通信安全163.1.3 设备和计算安全163.1.4 应用和数据安全163.1.5 密钥管理安
2、全173.1.6 安全管理193.1.7 密码应用工作流程示例203.2 密码产品/服务选择和部署223.3 与GB/T39786对照情况说明243.4 注意事项274密码应用安全性评估实施指南274.1 主要测评指标的选择和确定274.2 主要测评内容294.2.1 现场测评方法294.2.2 测评实施304.3 主要测评结果36为贯彻落实中华人民共和国密码法商用密码管理条例等法律法规,促进政务领域政务服务平台场景中商用密码的合规、正确、有效应用,依据国家密码政策要求和标准规范,制定本指南。本指南可用于指导各级政务服务平台相关系统建设单位和使用单位以及商用密码应用安全性评估机构规范开展商用密
3、码应用和安全性评估工作,也可供集成单位参考。本指南主要依据GB/T39786-2021信息安全技术信息系统密码应用基本要求等密码应用与安全性评估标准规范编制。本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处,以相关密码国家标准和行业标准为准。必要时本指南将根据最新的管理要求与相关技术标准进行更新。本指南分为四章。第一章主要梳理政务服务平台典型应用场景;第二章主要对政务服务平台相关风险、密码应用需求、保护对象进行梳理;第三章主要对政务服务平台进行密码应用设计;第四章主要对政务服务平台密码应用安全性评估工作进行梳理。本指南针对网络安全等级保护第三级信息系统密码应用要求进行设计,三级以
4、下及四级信息系统可根据GB/T39786结合系统实际进行相应调整。相关密码应用措施和技术路线不限于固定方式,政务服务平台相关建设单位和使用单位可根据自身已有密码应用基础,结合实际进行密码应用改造,以满足相关密码管理要求。本指南主要起草单位:国家信息中心、中电科网络安全科技股份有限公司、格尔软件股份有限公司、长春吉大正元信息技术股份有限公司、中国科学院信息工程研究所、国家信息技术安全研究中心、智巡密码(上海)检测技术有限公司、西安得安信息技术有限公司、北京信安世纪科技股份有限公司、同智伟业软件股份有限公司、国家密码管理局商用密码检测中心、四川省大数据中心、海南省大数据管理局、福建省密码管理局、安
5、徽省大数据中心。本标准主要起草人:魏连、王笑强、杨绍亮、杜小建、李元龙、南旭东、郭宏杰、郭亓元、王姮力、秦小龙、王小勇、李丹、阎亚龙、马原、魏东宾、牟杰、朱典、冯世宇、徐辉、陈天宇、吴冬宇、刘军荣、王珂、朱立通、王永起、唐鸣、宋晓勇、王泉景。1场景概述1.1 场景相关政策要求商用密码应用安全性评估管理办法(国家密码管理局令第3号)要求,重要网络与信息系统建设阶段,其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施,落实商用密码安全防护措施,建设商用密码保障系统。重要网络与信息系统运行前,其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商
6、用密码应用安全性评估的,运营者应当进行改造,改造期间不得投入运行。重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。国务院关于加快推进“互联网+政务服务工作的指导意见(国发(2016)55号)要求,加强网络和信息安全保护。按照国家信息安全等级保护制度要求,加强各级政府网站信息安全建设,健全“互联网+政务服务“安全保障体系。明确政务服务各平台、各系统的安全责任,开展等级保护定级备案、等级测评等工作,建
7、立各方协同配合的信息安全防范、监测、通报、响应和处置机制。加强对电子证照、统一身份认证、网上支付等重要系统和关键环节的安全监控。提高各平台、各系统的安全防护能力,查补安全漏洞,做好容灾备份。建立健全保密审查制度,加大对涉及国家秘密、商业秘密、个人隐私等重要数据的保护力度,提升信息安全支撑保障水平和风险防范能力。国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知(国办函(2016)108号)要求,遵循国家信息安全等级保护相关规范以及国家保密管理和密码管理的有关要求,建立健全“互联网+政务服务”安全保障体系。整体考虑、顶层规划“互联网+政务服务”安全保障体系的建设,按照信息系统安全等级
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 政务 领域 服务 平台 密码 应用 安全性 评估 实施 指南