华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > 商用密码产品认证咨询 > 信息系统密码通用测评要求

密码认证:信息系统密码通用测评要求

文章录入:华道众合   文章来源:华道众合   添加时间:2021-1-25
1. 密码算法和密码技术合规性
具体测评单元如下:
a) 测评指标
·信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。(第一级到第五级)
·信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。(第一级到第五级)
b) 测评对象
信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现。
c) 测评实施
了解系统使用的算法名称、用途、何处使用、执行设备及其实现方式(软件、硬件或固件),核查密码算法是否以国家标准或行业标准形式发布,或取得国家密码管理部门同意其使用的证 明文件。核查系统所使用的密码技术是否以国家标准或行业标准形式发布。
d) 结果判定
本单元测评指标不单独判定符合性。

2. 密钥管理安全性
具体测评单元如下:
a) 测评指标
·信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。(第一级到第五级)
·采用的密码产品,达到 GB/T 37092 一级及以上安全要求。(第二级)
·采用的密码产品,达到 GB/T 37092 二级及以上安全要求。(第三级)
·采用的密码产品,达到 GB/T 37092 三级及以上安全要求。(第四级)
·采用的密码服务,符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格。(第一级到第四级)
b) 测评对象
信息系统中的密钥体系,以及相应的密码产品、密码服务以及密码算法实现和密码技术实现。
c) 测评实施
1) 核查信息系统中密钥体系中的密钥(除公钥外)是否不能被非授权的访问、使用、泄露、修改和替换,公钥是否不能被非授权的修改和替换;
2) 核查信息系统中用于密钥管理和密码计算的密码产品是否符合法律法规的相关要求,需依法接受检测认证的,核查是否经商用密码认证机构认证合格;了解密码产品的型号和版本等配置信息,核查密码产品是否符合GB/T 37092相应安全等级及以上安全要求,并核查密码产品的使用是否满足其安全运行的前提条件,如其安全策略或使用手册说明的部署条件;
3) 核查信息系统中用于密钥管理和密码计算的密码服务是否符合法律法规的相关要求,需依法接受检测认证的,核查是否经商用密码认证机构认证合格。
d) 结果判定
本单元测评指标不单独判定符合性。
想了解更多的关于密码认证信息可以经常关注我们