ICS35.040 CCS L 80 GM 中华人民共和国密码行业标准 GM/T0116—2021 信息系统密码应用测评过程指南 Testing and evaluation process guide for information system cryptography application 2021-10-19发布 2022-05-01实施 国家密码管理局 发布 GM/T0116—2021 目 次 前言 Ⅲ 1范围 1 2规范性引用文件 .1 3术语和定义 1 4概述 4.1基本原则 1 4.2测评风险识别 2 4.3测评风险规避 .2 4.4测评过程 .3 4.4.1测评过程概述 .3 4.4.2测评准备活动 3 4.4.3方案编制活动 3 4.4.4现场测评活动 4 4.4.5分析与报告编制活动 4 5测评准备活动 4 5.1测评准备活动的工作流程 4 5.2测评准备活动的主要任务 5.2.1项目启动 4 5.2.2信息收集和分析 4 5.3测评准备活动的输出文档 6方案编制活动 .5 6.1方案编制活动的工作流程 5 6.2方案编制活动的主要任务 6.2.1测评对象确定 6 6.2.2测评指标确定 ....6 6.2.3测评检查点确定 6.2.4测评内容确定 7 6.2.5密评方案编制 .8 6.3方案编制活动的输出文档 7现场测评活动 9 7.1现场测评活动的工作流程 9 7.2现场测评活动的主要任务 9 7.2.1现场测评准备 .9 7.2.2现场测评和结果记录9 7.2.3结果确认和资料归还 10 7.3现场测评活动的输出文档10 I GM/T0116-2021 8分析与报告编制活动 10 8.1分析与报告编制活动的工作流程 10 8.2分析与报告编制活动的主要任务 11 8.2.1单元测评 11 8.2.2整体测评 11 8.2.3量化评估 12 8.2.4风险分析 .12 8.2.5评估结论形成 12 8.2.6密评报告编制 .13 8.3分析与报告编制活动的输出文档 13 Ⅱ GM/T0116-2021 前 言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草. 本文件由密码行业标准化技术委员会提出并归口. 本文件起草单位:国家密码管理局商用密码检测中心、中国科学院数据与通信保护研究教育中心、 公安部三所(公安部信息安全等级保护评估中心)、上海交通大学、中国电子科技集团第十五研究所(信 息产业信息安全测评中心)、深圳市网安计算机安全检测技术有限公司、国家信息技术安全研究中心、 山东道普测评技术有限公司、北京信息安全测评中心. 本文件主要起草人:肖秋林、罗鹏、马原、贾世杰、银鹰、郑昱、张立花、黎水林、牛莹姣、刘健、杨宏志、 吴冬宇、张晓溪、陈亚男. GM/T0116-2021 信息系统密码应用测评过程指南 1范围 本文件规定了信息系统密码应用的测评过程,规范了测评活动及其工作任务. 本文件适用于商用密码应用安全性评估机构、信息系统责任单位开展密码应用安全性评估工作. 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括的修改单)适用于 本文件. GB/T25069一2010信息安全技术术语 GM/T0115信息系统密码应用测评要求 GM/Z4001密码术语 3术语和定义 GB/T25069一2010和GM/Z4001界定的以及下列术语和定义适用于本文件. 3.1 测评方testing and evaluation agency 对信息系统开展密码应用安全性评估(简称“密评”)的主体. 注:具体可以是商用密码应用安全性评估机构或信息系统责任单位. 3.2 被测单位agency under testing and evaluation 信息系统责任单位. 3.3 商用密码应用安全性评估人员mercial cryptography application security evaluation ...