夜雨聆风
密评基础 | 信息安全技术 信息系统密码应用基本要求(附PPT下载)
【正文】
GB/T 39786-2021 是我国商用密码应用与安全性评估的核心基础性国家标准,2021 年 3 月 9 日发布、与10 月 1 日正式实施,由 GM/T 0054-2018 行业标准升级而来,是落实《密码法》、规范信息系统密码应用的核心依据。
一、标准核心定位与适用范围
(一)核心定位
-
为信息系统密码应用规划、建设、运行、测评提供统一、可落地的技术与管理准则。
-
是商用密码应用安全性评估(密评) 的核心依据,覆盖等保对象与关键信息基础设施国家密码管理局。
-
明确密码应用需满足合规性、正确性、有效性三大核心原则。
(二)适用范围
-
覆盖信息系统第一至四级的密码应用要求,第五级仅列通用要求、无具体细则。
-
适用于所有使用商用密码的信息系统(政务、金融、医疗、能源、交通、企业等)。
-
各行业可在此基础上制定行业专项密码应用规范。
二、核心框架:技术 + 管理双维度
(一)技术要求(四大层面)
从信息系统全栈安全出发,覆盖物理、网络、设备、应用数据,保障真实性、机密性、完整性、不可否认性。
|
|
|
|---|---|
| 物理和环境安全 |
|
| 网络和通信安全 |
|
| 设备和计算安全 |
|
| 应用和数据安全 |
|
(二)管理要求(四大模块)
配套技术落地的管理保障,覆盖制度、人员、建设、应急,具体如下:
-
管理制度:建立密码应用管理制度、密钥管理、审计、应急等制度。
-
人员管理:密码相关岗位人员资质、培训、保密管理。
-
建设运行:密码应用规划、产品选型(合规产品)、部署、运维、审计。
-
应急处置:密码安全事件应急响应、密钥恢复、业务连续性保障。
以下PPT内容是基于我们小组内部交流PPT简化的内容,供大家参考:
PPT下载:
GB_T39786-2021 信息安全技术 信息系统密码应用基本要求.pptx
免责声明:本公众号所发布内容为作者业余时间整理,供自己学习、记录和分享,皆为更好推动商用密码算法、技术、产品及解决方案普及,仅供大家参考!涉及相关文档/方案版权归原作者所有。若所引用的内容来源标注有误或涉及侵权,请及时联系作者进行删除处理。
分享、点赞、在看,3连击!