兩項密碼國家標準正式實施

2024年4月1日，國家市場監督管理總局、國家標準化管理委員會聯合發布的《GB/T 43207-2023 信息安全技術 信息系統密碼應用設計指南》（以下簡稱《信息系統密碼應用設計指南》）和《GB/T 43206-2023 信息安全技術 信息系統密碼應用測評要求》（以下簡稱《信息系統密碼應用測評要求》）兩項國家標準正式實施。

《信息系統密碼應用設計指南》簡述

《信息系統密碼應用設計指南》給出了信息系統密碼應用設計指南,包括信息系統密碼應用框架、密碼應用方案設計原則、密碼應用方案設計過程和密碼應用方案設計指南，適用于指導信息系統密碼應用方案的設計,也可作為信息系統密碼保障建設、密碼應用安全性評估和密碼管理部門密碼應用安全性評估備案工作的參考。

該標準在商用密碼應用“三同步一評估”過程中，為規劃、建設、運行等工作提供重要指導和建議，主要包含信息系統應用層設計指南、密碼服務支撐設計指南、計算平臺密碼應用設計指南、密鑰管理設計指南等多個方面。其中，信息系統應用層設計指南部分詳細闡述了如何進行身份鑒別、訪問控制信息完整性、數據傳輸安全、數據存儲安全和行為不可否認性等方面的設計要求；密碼服務支撐設計指南部分強調了密碼服務支撐的重要性，包括真實性保護功能設計、機密性與完整性保護功能設計、不可否認性保護功能設計等方面，并要求配備相應的密碼支撐產品和技術路線；計算平臺密碼應用設計指南部分從物理和環境安全、網絡和通信安全、設備和計算安全三個層面描述了具體的設計指南；密鑰管理設計指南部分包括密鑰策略設計、密鑰功能劃分、系統計算平臺密鑰管理設計、信息系統應用層密鑰管理設計等方面的詳細內容。

《信息系統密碼應用測評要求》簡述

《信息系統密碼應用測評要求》規定了信息系統第一級到第四級密碼應用的通用測評要求、技術測評要求、管理測評要求,并給出了整體測評要求、風險分析和評價、測評結論的要求；適用于指導、規范信息系統密碼應用安全性評估工作中的測評活動。

密碼應用合規現狀概述

2020年1月1日起施行的《中華人民共和國密碼法》、2023年7月1日起施行的《商用密碼管理條例》、2023年11月1日起施行的《商用密碼應用安全性評估管理辦法》等法律法規和《信息安全技術 信息系統密碼應用基本要求（GB/T 39786-2021）》、《信息系統密碼應用設計指南（GB/T 43207-2023）》《信息系統密碼應用測評要求（GB/T 43206-2023）》等國家標準以及《金融行業信息系統商用密碼應用基本要求（JR/T 0255-2022）》、《信息系統商用密碼應用測評要求（JR/T 0256-2022）》、《信息系統密碼應用測評過程指南（JR/T 0257-2022）》等行業標準組成了密碼應用從政策要求、規劃設計、建設實施到運行保障的系統性合規要求和體系化指導參考。

根據《商用密碼管理條例》，密碼應用服務對象為重要網絡與信息系統，不僅涵蓋了關鍵信息基礎設施，還包含其他大量網絡與信息系統，覆蓋客戶群體包括但不限于關鍵信息基礎設施運營者（如電信、能源、交通、金融等領域核心系統）、大型企業與機構（如銀行、互聯網公司、醫療保健機構等）、政府機關與公共部門（各級政府、事業單位及其處理政務數據、公民信息、公共服務數據的系統）、第三方服務提供商（云計算、大數據平臺等）、中小型企業（處理敏感信息或依賴信息系統的核心業務）、特定行業與領域（如國防、電力、電商、在線支付等）。

另外，《中華人民共和國密碼法》明確規定：未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告?！渡逃妹艽a應用安全性評估管理辦法》也規定重要網絡與信息系統的運營者違反本辦法規定，由密碼管理部門責令改正；逾期未改正或者改正后仍不符合要求的，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5000元以上5萬元以下罰款。

CFCA不斷推進密碼應用與評估工作

中國金融認證中心（CFCA）是經國家信息安全管理機構批準成立的權威電子認證機構。也是我國重要的信息安全基礎設施之一。

CFCA專注于信息安全風險管理領域，全面完善的信息安全服務貫穿信息系統整個生命周期。密碼服務團隊以扎實的知識技能、豐富的實踐經驗和多年積累的知識庫，服務于眾多金融機構、非銀行機構、政府機構和大中型企事業單位，幫助企業構建安全可靠的信息系統。

CFCA將以高度的責任心、使命感、緊迫感，堅定不移推進密碼應用與評估工作，更好地為我國數字經濟保駕護航。

責任編輯：陳愛