ICS 35.040
GM
CCS L 80
中华人民共和国密码行业标准
GM/T 0115—2021
信息系统密码应用测评要求
Testing and evaluation requirements for informationsystem cryptography application
2021-10-19发布
2022-05-01实施
国家密码管理局 发布
GM/T 0115—2021
目次
前言 …………………………………………………………………………………………………………Ⅲ
1 范围……………………………………………………………………………………………………1
2 规范性引用文件………………………………………………………………………………………1
3 术语和定义 ……………………………………………………………………………………………………………1
4 概述 ……………………………………………………………………………………………………1
5 通用测评要求 ………………………………………………………………………………………3
5.1 密码算法合规性 …………………………………………………………………………………3
5.2 密码技术合规性 …………………………………………………………………………………3
5.3 密码产品合规性 …………………………………………………………………………………3
5.4 密码服务合规性 …………………………………………………………………………………4
5.5 密钥管理安全性 …………………………………………………………………………………4
6 密码应用测评要求 ……………………………………………………………………………………4
6.1 物理和环境安全 …………………………………………………………………………………4
6.2 网络和通信安全 …………………………………………………………………………………6
6.3 设备和计算安全 ………………………………………………………………………………………8
6.4 应用和数据安全…………………………………………………………………………………11
6.5 管理制度…………………………………………………………………………………………………14
6.6 人员管理…………………………………………………………………………………………17
6.7 建设运行…………………………………………………………………………………………………19
6.8 应急处置…………………………………………………………………………………………21
7 整体测评要求…………………………………………………………………………………………23
7.1 概述………………………………………………………………………………………………23
7.2 单元间测评………………………………………………………………………………………………23
7.3 层面间测评………………………………………………………………………………………23
8 风险分析和评价………………………………………………………………………………………23
9 测评结论………………………………………………………………………………………………24
附录 A(资料性)密钥生存周期管理检查要点………………………………………………………25
附录 B(资料性)典型密码产品应用测评技术………………………………………………………29
附录C(资料性)典型密码功能测评技术…………………………………………………………31
参考文献 ………………………………………………………………………………………………………33
GM/T 0115—2021
信息系统密码应用测评要求
1 范围
本文件规定了信息系统不同等级密码应用的测评要求，从密码算法合规性、密码技术合规性、密码产品合规性、密码服务合规性以及密钥管理安全性等方面，提出了第一级到第五级的密码应用通用测评要求；从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层
面提出了第一级到第四级的密码应用技术测评要求；从管理制度、人员管理、建设运行和应急处置等四
个管理方面提出了第一级到第四级的密码应用管理测评要求，并给出了整体测评、风险分析和评价、测评结论等测评环节的要求。
本文件适用于指导、规范信息系统密码应用在规划、建设、运行环节的商用密码应用安全性评估工作。
注：第五级密码应用测评要求只在本文件中描述通用测评要求。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。
GB/T 39786—2021 信息安全技术 信息系统密码应用基本要求GM/Z 4001 密码术语
3 术语和定义
GB/T 39786—2021和GM/Z4001界定的以及下列术语和定义适用于本文件。
3.1
商用密码应用安全性评估人员commercial cryptography application security evaluation staff在商用密码应用安全性评估机构中从事商用密码应用安全性评估的人员。注：简称“密评人员”。
3.2
核查examine
密评人员对测评对象进行观察、查验和分析，以帮助密评人员理解、澄清或取得证据的过程。
4 概述
本文件根据GB/T 39786—2021,将信息系统密码应用测评要求分为通用测评要求和密码应用测
评要求。第5章用于指导第6章的实施，不单独实施测评，也不单独体现在密码应用安全性评估报告的单元测评结果和整体测评结果中。附录A为5.5的测评实施参考。附录B和附录C分别给出了典型密码产品应用测评技术和典型密码功能测评技术，供密评人员在对信息系统中具体使用的密码产品或应用的密码功能进行测评实施时参考。