《信息系统密码应用方案评估规范》团标解读

根据《广东省省级政务信息化项目商用密码应用工作指引》提出的推进省级政务信息化项目密码应用工作要求以及广东省信息系统密码应用方案评估工作实际，基于当前密码应用方案评估工作缺少专业的指导性文件的现状，广东省商用密码协会组织多家单位针对密码应用方案评估编制了相关标准文件。从2021年11月申请立项，历经起草、征求意见阶段，标准编制单位参与修改多轮，并经专家审定。

2022年5月19日，广东省商用密码协会批准发布《信息系统密码应用方案评估规范》（T/GDCCA 0001-2022）、《信息系统密码应用方案评估过程指南》（T/GDCCA 0002-2022）两项团体标准。两项团体标准的制定依据《密码法》、GB/T 39786-2021、GM/T 0115-2021、GM/T 0116-2021 等相关法律法规和标准规范，旨在统一密码应用方案评估标准，规范实施密码应用方案评估过程，对密码应用方案评估工作具有指导作用。两项团体标准于2022年6月1日起实施。

本文就由深圳市网安计算机安全检测技术有限公司牵头编制的《信息系统密码应用方案评估规范》（T/GDCCA0001-2022）进行解读，介绍团标编制的必要性、依据以及团标的具体思路、原则和特点。

《信息系统密码应用方案评估规范》

一、必要性是什么？

现阶段，“方案”评估工作主要存在以下4个问题：

1）现有系统测评方法无法满足“方案”评估工作需求

系统测评面对的是部署了商用密码产品的网络和信息系统，而“方案”评估面对的是方案文本，两者研究对象的差异，直接造成评估技术方法的不同；尤其系统测评的数据分析方法在“方案”评估中无法使用。在GM/T 0115-2021《信息系统密码应用测评要求》中，验证“有效性”的重要内容，在“方案”评估时无法实施完成，此测评要求针对“方案”评估不适用。

2）“方案”编制存在的问题增加了评估的复杂性

“方案”编制单位在编制过程中经常出现的问题诸如：对密码应用基本要求理解不深不透，应用有欠缺，文本规范性差；“方案”提供有关密码应用的材料不完整；密码应用场景描述不全面，保护对象有遗漏；内容描述的一致性差；风险分析没有结合实际情况，密码应用需求未能结合实际业务等，上述问题直接影响评估人员对“方案”的理解和评估判定依据的提取，导致“方案”分析与评估出现偏差。

3）“方案”评估报告质量参差不齐

目前，“方案”评估时，评估人员凭自己的理解和经验，不同评估人员把握的尺度标准不统一，影响评估实施的可再现性，最终的结果是评估报告的质量受影响。

4）尚缺乏一个便于实施且具有完备性的“方案”评估技术标准

针对“方案”评估的条件与特点，在做好与现有密评各项标准和技术文件衔接的同时，解决“方案”评估自身问题，研究一个技术标准成为工作中必需解决的一个问题。

结论：现有的“方案”评估技术方法不足与“方案”编制过程中产生的问题相互叠加，直接影响其评估实施的可再现性。因此，编制一个“方案”评估技术规范十分必要。

二、依据是什么？

包括法律法规、相应的管理制度和各项技术标准。

1、法律法规：

依据：《中华人民共和国密码法》

第二十二条 国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

2、管理制度：

依据：《广东省商用密码协会团体标准管理办法》

3、技术标准

1）GB/T 39786-2021 《信息安全技术信息系统密码应用基本要求》

2）GM/T 0115-2021 《信息系统密码应用测评要求》

3）GM/T 0116-2021 《信息系统密码应用测评过程指南》

4）《信息系统密码应用高风险判定指引》（中国密码学会密评联委会 2021年12月）

5）《商用密码应用安全性评估量化评估规则》（中国密码学会密评联委会 2021年12月）

三、思路是什么？

1）制定科学合理的编制原则

2）合理分解方案评估的活动

3）选定相对独立的评估单元，确定评估实施要点

4）选定科学、合理、可行的评估结论判定方法

四、原则是什么？

1）科学性：架构设计合理、前后内容逻辑清晰，指标要求与GB/T 39786《信息安全技术 信息系统密码应用基本要求》 保持一致。

2）先进性：在最新技术标准或技术文件基础上编制而成。

3）衔接性：与现有标准保持衔接，与最新版的密码应用方案评估报告模板保持匹配。

4）可行性：切合实际，合理可行，便于实施。

5）完备性：满足密码应用方案评估要求，评估结论可靠、可用。

五、主要特点是什么？

1、保持与现有标准衔接，补充完善“方案”评估技术方法

团标依据GB/T 39786-2021，完全保持与系统测评相同；采纳了GM/T 0115-2021适用内容，对不适用内容作了修改补充。评估结果与系统测评要求保持衔接。

初步量化评估在《商用密码应用安全性评估量化评估规则》基础上修改而来。在最基本层面，对各测评对象的测评结果量化评估规则作部分修改，测评单元的测评结果量化评估规则、安全层面的测评结果量化评估规则、整体测评结果量化评估规则保持不变。

评估结论判定依据高风险项判定结果、量化评估分值结果，与系统测评保持一致，同时增加审核结果作为评估结论判定依据，当形式审核或者实质审核结果不通过时，“方案”评估结论也为不通过。

评估结论为“通过”/“不通过”两种。与《信息系统密码应用方案评估报告》模板（2021版）一致。

2、将评估划分成既相对独立又有一定内在逻辑联系的几个活动

1）团标将“方案”评估分为形式审核、实质审核、指标评估、初步量化评估、结论判定共五种既相对独立又有一定内在逻辑联系的评估活动，它们相互之间有机衔接，最后构成一个完整的评估方法。

2）评估方法与评估活动一一对应，可操作性强。

对应五种评估活动，分别给出形式审核、实质审核、指标评估、初步量化评估、结论判定活动的评估方法，详细具体，便于使用。

3、行文结构清晰明了

1）增加了对“方案”的审核要求，按照“先审核，再评估”，逐步实施。同时，将审核结果纳入“方案”评估结论判定依据，审核结果为“不符合”时，“方案”评估结论为“不通过”。本质上是对“方案”编写规范性提出了要求，只有“符合”或“基本符合”编写要求的才具备评估条件，否则按“不通过”处理，返回编制方修改、补充，直至具备评估条件。

2）调整指标技术评估层级顺序，按照“先密码应用功能实现，再按技术应用安全”分层。有利于聚焦审核密码应用功能性实现部分，便于评估其安全性。

3）指标评估采用单元评估模式，结构清晰明了。

本团标的发布实施，推广普及后将在广东省内规范方案评估方开展密码应用方案评估工作，指导编制单位编写“方案”发挥重要作用。同时，也可为密码管理部门检查监督提供依据，推动密码应用高质量发展发挥作用。

声明：本文来自广东省商用密码协会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。