T/GDCCA 0001-2022 信息系统密码应用方案评估过程指南.pdf

ICS35.040

L80

备案号：

广东省密码团体标准

T/GDCCA0002-2022

信息系统密码应用方案评估

过程指南

EvaluationProcessGuideforInformationSystemCryptography

ApplicationScheme

2022-05-19发布2022-06-01实施

广东省商用密码协会发布

T/GDCCA0002-2022

目次

前言II

引言III

1范围1

2规范性引用文件1

3术语和定义1

4总体要求2

4.1基本原则2

4.2方案评估方要求2

4.3信息泄露风险规避2

4.4方案评估过程2

5评估准备3

5.1工作内容3

5.2主要任务3

5.3输入输出物3

6评估修正4

6.1工作内容4

6.2主要任务4

6.3输入输出物5

7安全性审查5

7.1工作内容5

7.2主要任务5

7.3输入输出物5

8报告编制5

8.1工作内容5

8.2主要任务6

8.3输入输出物6

9方案变更评估7

9.1工作内容7

9.2主要任务7

9.3输入输出物8

附录A9

附录B10

附录C11

附录D12

参考文献13

I

T/GDCCA0002-2022

前言

本文件根据GB/T1.1-2020给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由广东省商用密码协会（T/GDCCA）提出并归口。

本文件起草单位：广州竞远安全技术股份有限公司、深圳市网安计算机安全检测技术有

限公司、工业和信息化部电子第五研究所、鼎铉商用密码测评技术(深圳)有限公司、北京数

字认证股份有限公司、信安神州科技（广州）有限公司、华南农业大学。

本文件主要起草人：王正临、梁承东、薛涛、艾志娟、胡之斐、刘江、谭波、黄琼、葛

强、洪跃腾、唐启楠、高锐、尤博、陈磊、孙少波。

本文件及其所代替文件的历次版本发布情况为：

本文件首次发布。

II

T/GDCCA0002-2022

引言

密码应用方案评估目前缺少完整的指导性文件，在流程、方法、专家评审等方面急需一

份过程指南。

本文件的制定参考了广东省省级政务信息化项目商用密码应用工作指引提出的推进省

级政务信息化项目密码应用工作要求。

本文件的制定参考了行业内密码应用方案评估的总体流程和活动，因此该文件对不同商

用密码测评组织开展密码应用方案评估具有兼容性和指导性作用。

本文件的制定基于密码法、GB/T39786-2021、GM/T0115-2021、GM/T0116-2021等相

关法律法规和标准规范，对密码应用方案评估过程中涉及的活动、流程、阶段性输入输出物

等进行了明确的定义，是一类规范性标准文件。

III

T/GDCCA0002-2022

信息系统密码应用方案评估过程指南

1范围

本文件规范了信息系统密码应用方案的评估过程、评估活动的工作内容及主要工作任务。