华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27000认证咨询 > 电子文件密码安全目标、应用系统要求,ISO27000信息安全认证申请

ISO27001认证:电子文件密码安全目标、应用系统要求,ISO27000信息安全认证申请

文章录入:华道众合   文章来源:华道众合   添加时间:2022-9-13

电子文件密码安全目标、应用系统要求
1、密码应用技术框架
电子文件的密码应用技术框架如图1所示。
本标准凡涉及密码算法、密码协议宜遵循密码相关国家标准和行业标准。

2、安全目标
电子文件管理的安全目标包括机密性、完整性、真实性和不可否认性。
为实现电子文件管理的安全目标,宜使用密码技术保证电子文件全生命周期的安全性。即保证电子文件的形成过程真实可靠,保证电子文件在传输(交换)、接收和存储的过程中未被篡改,保证电子文件不被泄露给非授权的访问者,保证电子文件的操作者不能否认其操作行为和处理结果。
电子文件的安全性由文件内容的安全性和文件属性的安全性共同来保证。
3、应用系统
遵循GB/T 31913-2015,电子文件全生命周期中,一般经历三种类型的系统,即业务系统、电子文件管理系统、电子文件长期保存系统。
业务系统也称作电子文件形成办理系统,主要为电子文件提供从形成到办理这一过程中所涉及的业务功能,并提供与其他系统连接的数据接口。电子文件管理系统负责从业务系统中捕获电子文件,维护文件之间、文件和业务之间的各种关联,支持查询利用,并以有序的、系统的、可审计的方式进行处置。
电子文件长期保存系统则以正确的和长期有效的方式维护电子文件并提供利用。
4、用户
用户是应用系统的操作人员,包括电子文件的业务操作者和应用系统的系统管理者。
业务操作者是指在业务系统、电子文件管理系统和电子文件长期保存系统中,对电子文件进行创建、修改、授权、阅读、签批、盖章、打印、流转、存档和销毁等具体操作的人员。
系统管理者是指对应用系统进行管理与维护的人员,包括系统管理员、审计管理员和保密管理员。
5、电子文件
电子文件是应用系统的操作对象。
文件内容可以包含一个或多个文件。
文件属性包括标识属性、元数据属性、安全属性、签批属性、印章属性、水印属性、权限属性、日志属性和扩展属性等。标识属性是文件的唯一标识,该标识在电子文件创建时确定,并在电子文件全生命周期中保持不变;元数据属性描述电子文件的背景、内容、结构及其整个管理过程的数据;安全属性描述与电子文件密码操作相关的属性和状态的数据,包括对文件内容及相关文件属性进行加密、签名等密码运算所采用算法的算法标识、数字证书信息、签名结果等内容;签批属性定义了对文件进行签批以及对签批行为进行签名的操作,包括签批人信息、签批时间、签批内容等内容;印章属性定义了对文件进行盖章、验章操作,包括签章人信息、签章时间、电子签章等内容;水印属性定义了对文件嵌人/提取水印的操作,包括水印设置人、水印设置时间、水印内容、水印位置等内容;权限属性定义对文件的读、写、打印、密码操作等操作权限;日志属性定义了对文件操作过程中的日志信息;扩展属性是由应用系统自定义的属性,由应用系统根据实际应用需要定义其结构及各要素的含义。
文件属性可遵循GM/T 0055-2018以标签的方式组织,电子文件与标签存在唯一绑定关系,可内联式存储也可外联式存储。
文件属性也可由应用系统以自维护方式组织,应用系统可根据属性含义自定义属性所包含的字段,并直接对文件属性进行密码操作,保证文件属性的安全性,维护其与电子文件的关联关系。

适用标准
GB/T 20518 信息安全技术 公钥基础设施 数字证书格式
GB/T 25069-2010 信息安全技术 术语
GB/T 31913-2015 文书类电子文件形成办理系统通用功能要求
GB/T 32905 信息安全技术 SM3密码杂凑算法
GB/T 32907 信息安全技术 SM4分组密码算法
GB/T 32918 信息安全技术 SM2椭圆曲线公钥密码算法
GB/T 35275 信息安全技术 SM2密码算法加密签名消息语法规范
GM/T 0019 通用密码服务接口规范
GM/T 0031 安全电子签章密码应用技术规范
GM/T 0033 时间戳接口规范
GM/T 0054 信息系统密码应用基本要求
GM/T 0055-2018 电子文件密码应用技术规范

想了解更多的关于ISO27001认证信息可以经常关注我们