企业动态

当前位置:首页 - 企业动态 - 企业新闻

国家金融科技测评中心(银行卡检测中心)提供商用密码应用安全评估服务

发布日期:2021-03-31

3月9日,国家市场监督管理总局、中国国家标准化管理委员会发布GB/T 39786《信息安全技术 信息系统密码应用基本要求》(简称“国标”),正式替代原有的GM/T 0054《信息系统密码应用基本要求》(简称“行标”),成为商用密码应用安全性评估的测评依据。国标正式实施时间为2021年10月1号。

商用密码应用安全性评估活动,即依据信息安全等级保护的国家标准或行业标准,按照商用密码应用安全性评估管理要求,在系统规划阶段,责任单位应当依据商用密码应用安全性有关标准,制定商用密码应用建设方案,组织专家或委托测评机构对商用密码应用建设方案进行评估;在系统建设完成后以及运行阶段,由测评机构对信息系统所采用商用密码技术、产品、算法和服务的合规性、正确性、有效性进行评估。

依据的标准由行标变更为国标后,商用密码应用安全性评估活动的主要变化包括:

01



测评要求变化


行标主要基于总体要求、密码功能性要求、密码应用技术要求、密钥管理以及安全管理五个方面进行合规性、正确性、有效性测评。


国标主要是基于通用要求、密码应用技术要求和密码应用管理要求三个方面进行合规性、正确性、有效性测评。通用要求包含密码算法、密码技术、密码产品、密码服务以及密钥管理等方面;密码应用技术要求包含物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;密码应用管理要求包含管理制度、人员管理、建设运行和应急管理。

从测评要求上看:一是国标相较于行标在整体框架上进行了调整,由行标的总体要求、密码功能性要求、密码应用技术要求、密钥管理以及安全管理五个方面调整为通用要求、密码应用技术要求和密码应用管理要求三方面。二是相关标准的行业适应性和安全性更强,对一些标准要求有所放宽,而类似于密码服务、密钥管理之类指标的标准要求却有所增强。

02



测评指标变化


行标测评指标分为一到四级指标,其中技术要求指标内容如下:



密钥管理要求如下:

安全管理要求如下:

国标指标要求分为一到四级指标,其中技术要求指标内容如下:

管理要求指标如下:

在技术要求模块,国标相较于行标,一级到三级要求都有不同程度的下降,测评指标有一定的变化,主要体现在以下几点:


在安全管理模块,国标相较于行标,要求有所增加,主要体现在以下几点:


上一篇:无 下一篇:北京国家金融科技认证中心总经理张海燕一行莅临国家金融科技测评中心(银行卡检测中心)调研交流