ICS35.030 CCS L 80 GM 中华人民共和国密码行业标准 GM/T0132—2023 信息系统密码应用实施指南 Implementation guide for information system cryptography application 2023-12-04发布 2024-06-01实施 国家密码管理局 发布 GM/T0132-2023 目次 前言 Ⅲ 1范围 1 2规范性引用文件 3术语和定义 4信息系统密码应用实施概述 4.1角色和职责 4.2基本流程 2 5信息系统密码应用规划 5.1规划阶段的工作流程 2 5.2密码应用需求分析* 5.2.1信息系统现状分析 5.2.2密码应用安全风险分析 4 5.2.3密码应用基本需求的确定 5.2.4密码应用特殊需求的确定4 5.2.5需求分析结果文档化 5 5.3密码应用方案设计 5 5.3.1总体策略设计 *5 5.3.2密码应用技术方案设计 5 5.3.3密码应用安全管理方案设计 6 5.3.4合规性自查 6 5.3.5实施保障方案设计6 5.3.6设计结果文档化 5.4方案密评 7 6信息系统密码应用建设 6.1建设阶段的工作流程* **8 6.2密码建设方案设计 8 6.2.1密码应用技术措施实现内容的设计 6.2.2密码应用安全管理措施实现内容的设计9 6.2.3设计结果文档化 9 6.3密码应用技术措施的实现 6.3.1密码产品与密码服务采购 9 6.3.2密码应用集成 10 工 GM/T0132-2023 6.4密码应用安全管理措施的实现 10 6.4.1密码应用配套安全管理制度的制定10 6.4.2密码管理岗位和人员的设置 10 6.4.3建设过程管理11 6.5系统密评 7信息系统密码应用运行 12 7.1运行阶段的工作流程 12 7.2运行管理和控制 13 7.2.1运行管理过程控制13 7.2.2运行管理人员控制 13 7.3变更管理和控制 13 7.3.1变更需求和影响分析13 7.3.2变更过程控制* 14 7.4密码应用安全状态监控14 7.4.1监控对象确定 14 7.4.2监控对象状态信息收集14 7.4.3监控状态分析和报告 7.5安全自查和持续改进 15 7.5.1密码应用安全状态自查 门5 7.5.2密码应用整改 *16 7.6系统密评 16 7.7应急响应与保障 17 7.7.1应急准备 17 7.7.2应急监测与响应 17 7.7 3后期评估与改进 18 7.7.4应急保障 18 8信息系统密码应用终止 18 8.1终止阶段工作流程 18 8.2密码应用信息转移、暂存和清除 *19 8.3密码应用设备迁移或废弃19 8.4密码应用存储介质的清除或销毁 20 附录A(规范性)主要过程及其活动和输人输出21 参考文献 24 Ⅱ GM/T 0132—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任. 本文件由密码行业标准化技术委员会提出并归口. 本文件起草单位:兴唐通信科技有限公司、国家密码管理局商用密码检测中心、中国科学院信息工 程研究所、中国科学院数据与通信保护研究教育中心北京信安世纪科技有限公司、北京数盾信息科技 有限公司、三未信安科技股份有限公司、阿里云计算有限公司、中电科网络安全科技股份有限公司、 公安部第三研究所、蚂蚁科技集团股份有限公司、鼎铉商用密码测评技术(深圳)有限公司、北京天融信 网络安全技术有限公司、中金金融认证中心有限公司、阿里巴巴(中国)网络技术有限公司、上海市数字 证书认证中心有限公司中互金认证有限公司、国家信息技术安全研究中心、深圳市腾讯计算机系统有 限公司、中国电子科技集团公司第十五研究所、中国国家铁路集团有限公司、暨南大学启明星辰信息 安全技术有限公司. 本文件主要起草人:王彦刘尚燕许长佳兵马原郑明县消秋林星宇贾世杰、田爱军、 孙丽伟、姚长远、胡伟、何济尘梅秋丽宗斌秦体级吴冬刘健张立花、杨辰陈天宇、吕娜、 袁静、乐宏章、陈萧宇、许涛张人江周君平张翔、宋陈磊、五马春旺、朱红儒、谭武征、 李增局、姬生利、杨龙、田涛手航高志权、鹿淑煜、吴波华珊、李方海...