GM_T 0132-2023 信息系统密码应用实施指南.docx

ICS35.030

CCSL80

中华人民共和国密码行业标准

GM/T0132—2023

信息系统密码应用实施指南

Implementationguideforinformationsystemcryptographyapplication

2023-12-04发布

2024-06-01实施

国家密码管理局发布

I

GM/T0132—2023

目次

前言 Ⅲ

1范围 1

2规范性引用文件 1

3术语和定义 1

4信息系统密码应用实施概述 1

4.1角色和职责 1

4.2基本流程 2

5信息系统密码应用规划 2

5.1规划阶段的工作流程 2

5.2密码应用需求分析 3

5.2.1信息系统现状分析 3

5.2.2密码应用安全风险分析 4

5.2.3密码应用基本需求的确定 4

5.2.4密码应用特殊需求的确定 4

5.2.5需求分析结果文档化 5

5.3密码应用方案设计 5

5.3.1总体策略设计 5

5.3.2密码应用技术方案设计 5

5.3.3密码应用安全管理方案设计 6

5.3.4合规性自查 6

5.3.5实施保障方案设计 6

5.3.6设计结果文档化 7

5.4方案密评 7

6信息系统密码应用建设 8

6.1建设阶段的工作流程 8

6.2密码建设方案设计 8

6.2.1密码应用技术措施实现内容的设计 8

6.2.2密码应用安全管理措施实现内容的设计 9

6.2.3设计结果文档化 9

6.3密码应用技术措施的实现 9

6.3.1密码产品与密码服务采购 9

6.3.2密码应用集成 10

Ⅱ

GM/T0132—2023

6.4密码应用安全管理措施的实现 10

6.4.1密码应用配套安全管理制度的制定 10

6.4.2密码管理岗位和人员的设置 10

6.4.3建设过程管理 11

6.5系统密评 11

7信息系统密码应用运行 12

7.1运行阶段的工作流程 12

7.2运行管理和控制 13

7.2.1运行管理过程控制 13

7.2.2运行管理人员控制 13

7.3变更管理和控制 13

7.3.1变更需求和影响分析 13

7.3.2变更过程控制 14

7.4密码应用安全状态监控 14

7.4.1监控对象确定 14

7.4.2监控对象状态信息收集 14

7.4.3监控状态分析和报告 15

7.5安全自查和持续改进 15

7.5.1密码应用安全状态自查 15

7.5.2密码应用整改 16

7.6系统密评 16

7.7应急响应与保障 17

7.7.1应急准备 17

7.7.2应急监测与响应 17

7.7.3后期评估与改进 18

7.7.4应急保障 18

8信息系统密码应用终止 18

8.1终止阶段工作流程 18

8.2密码应用信息转移、暂存和清除 19

8.3密码应用设备迁移或废弃 19

8.4密码应用存储介质的清除或销毁 20

附录A(规范性)主要过程及其活动和输入输出 21

参考文献 24

Ⅲ

GM/T0132—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由密码行业标准化技术委员会提出并归口。

本文件起草单位：兴唐通信科技有限公司、国家密码管理局商用密码检测中心、中国科学院信息工程研究所、中国科学院数据与通信保护研究教育中心、北京信安世纪科技有限公司、北京数盾信息科技有限公司、三未信安科技股份有限公司、阿里云计算有限公司、中电科网络安全科技股份有