中华人民共和国密码行业标准
GM/T0139-2024
信息系统密码应用安全管理体系
Information system cryptography application security management systems
国家密码管理局 发布
目次
前言引言1范围2规范性引用文件. 3术语和定义4缩略语.5密码应用安全管理体系概述6管理保障6.1组织保障6.2服务保障7密码应用安全风险管理 7.1通用要求7.2密码应用安全风险评估7.3密码应用安全风险处置8密码应用安全控制8.1管理制度 .......8.2人员管理8.3环境和资源管理. 8.4规划和建设管理8.5运行和维护管理 13 128.6应急管理 158.7监督和检查管理... 168.8安全审计 169有效性测量和持续改进 179.1监视、测量和分析 9.2持续改进 18 1710密码应用安全管理体系评估 1810.1自评估 .... 1810.2第三方评估 18附录A(规范性)信息系统密码应用安全管理体系过程文件A.1通则 A.2信息系统密码应用安全风险管理类文件 20 20A.3信息系统密码应用安全控制类文件A.4有效性测量和持续改进类文件 21
A.5密码应用安全管理体系评估类文件
前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.
本文件由密码行业标准化技术委员会提出并归口.
本文件起草单位:工业和信息化部电子第五研究所、广州赛宝认证中心服务有限公司、北京电子科技学院、中国科学院信息工程研究所、中国科学院大学、北京数字认证股份有限公司、暨南大学、北京信安世纪科技股份有限公司、深圳市腾讯计算机系统有限公司.
邓贵钊、程保瑕、金诚斌、陈艳、段沛鑫、间亚龙、马原、郑防昱、张永强、谭武征、汪宗斌、谢灿、杜大海. 本文件主要起草人:李丹、卢列文、高锐、尤博、云雷、刘北水、姚莹、古宜平、姚锐冬、肖威、彭辉、
引言
为了对组织的信息系统密码应用安全管理提供整体、统一的模型和方法,从管理层面保障信息系统密码应用安全,制定本文件.本文件可作为组织基于GB/T22080实现信息安全管理体系(ISMS)过程中选择控制时的参考,或作为组织在实现密码应用安全管理控制时的指南.在考虑信息系统安全等级2021密码应用管理要求的指南.
信息系统密码应用安全管理体系
1范围
本文件规定了组织建立、实施、运行、保持和持续改进密码应用安全管理体系的要求,从管理层面给出了密码应用安全控制措施和实施指南.
等级保护第一级到第四级的信息系统. 本文件适用于信息系统运营者等与密码应用相关的各种类型、规模和特性的组织,适用于网络安全
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于 本文件.
GB/T22080一2016信息技术安全技术信息安全管理体系要求GB/T22240信息安全技术网络安全等级保护定级指南GB/T25069-2022信息安全技术术语GB/T29246一2023信息安全技术信息安全管理体系概述和词汇 GB/T39786-2021信息安全技术信息系统密码应用基本要求GB/T43207信息安全技术信息系统密码应用设计指南GM/Z4001-2013密码术语
3术语和定义
GB/T 29246-2023 GB/T 22080-2016 GB/T 25069-2022、GB/T 39786-2021、GB/T 43207、GB/T22240和GM/Z4001-2013界定的以及下列术语和定义适用于本文件.
3.1
组织organization
具有自身的职责、权感和关系以实现其目标的个人或集体.注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或者其部分或组合无论注册成立与否、是公共的还是私营的.
3.2
控制control
改变风险的措施.注1:控制包括任何改变风险的过程、策略、装置、实践或其他猎施.注2:控制可能并不总是发挥出预期或假定的改变效果.
3.3
有效性effectiveness
实现所计划活动和达成所计划结果的程度.
