信息系统密码应用测评过程指南

  • 格式:pdf
  • 大小:700.53 KB
  • 文档页数:16
I
信息系统密码应用测评过程指南
1 范围
本文件规定了信息系统密码应用的测评过程,规范了测评活动及其工作任务。 本文件适用于商用密码应用安全性评估机构、信息系统责任单位开展密码应用安全性评估工作。
2ቤተ መጻሕፍቲ ባይዱ规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。
4.1 基本原则 ................................................................... - 1 4.2 测评风险识别 ............................................................... - 2 4.3 测评风险规避 ............................................................... - 2 4.4 测评过程 ................................................................... - 3 5 测评准备活动 ................................................................... - 4 5.1 测评准备活动的工作流程 ..................................................... - 4 5.2 测评准备活动的主要任务 ..................................................... - 4 5.3 测评准备活动的输出文档 ..................................................... - 5 6 方案编制活动 ................................................................... - 5 6.1 方案编制活动的工作流程 ..................................................... - 5 6.2 方案编制活动的主要任务 ..................................................... - 6 6.3 方案编制活动的输出文档 ..................................................... - 8 7 现场测评活动 ................................................................... - 9 7.1 现场测评活动的工作流程 ..................................................... - 9 7.2 现场测评活动的主要任务 ..................................................... - 9 7.3 现场测评活动的输出文档 .................................................... - 10 8 分析与报告编制活动 ............................................................ - 11 8.1 分析与报告编制活动的工作流程 .............................................. - 11 8.2 分析与报告编制活动的主要任务 .............................................. - 11 8.3 分析与报告编制活动的输出文档 .............................................. - 13 -
GB/T 25069-2010 信息安全技术 术语 GM/Z 4001-2013 密码术语 GB/T AAAAA 信息安全技术 信息系统密码应用基本要求 GM/T BBBB 信息系统密码应用测评要求 GM/T CCCC 信息系统密码应用高风险判定指引
3 术语和定义
GB/T 25069-2010和GM/Z 4001-2013中界定的相关术语和定义,以及下列术语和定义适用于本文 件。 3.1
测评方 testing and evaluation agency 对信息系统开展密码应用安全性评估(简称“密评”)的主体,具体可以是商用密码应用安全性评 估机构或信息系统责任单位。 3.2 被测单位 agency under testing and evaluation 信息系统责任单位。 3.3 商用密码应用安全性评估人员 commercial cryptography application security evaluation staff 简称“密评人员”,是指测评方中从事测评活动的人员。
信息系统密码应用测评过程指南
中国密码学会密评联委会 二〇二〇年十二月
目录
1 范围 ........................................................................... - 1 2 规范性引用文件 ................................................................. - 1 3 术语和定义 ..................................................................... - 1 4 概述 ........................................................................... - 1 -