《GB∕T 39786-2021 信息安全技术 信息系统密码应用基本要求》已于2021年3月9日发布,将在2021年10月1日开始实施。
本标准规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。
注:第五级密码应用仅在本标准中描述通用要求,第五级密码应用技术要求和管理要求不在本标准中描述。
本标准适用于指导、规范信息系统密码应用的规划、建设、运行及测评。在本标准的基础之上,各领域与行业可结合本领域与行业的密码应用需求来指导、规范信息系统密码应用。
本标准从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出密码应用技术要求,保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性;并从信息系统的管理制度、人员管理、建设运行和应急处置四个方面提出密码应用管理要求,为信息系统提供管理方面的密码应用安全保障。
以下内容摘选于征求意见稿:
本标准使用“应”、“宜”、“可”表达对相关要求的不同约束程度,其中:
“应”表示信息系统管理者应遵循相关要求;
“宜”表示由审查通过的信息系统密码应用方案,决定遵循或不遵循相应的要求来实现安全保护。如不遵循,应说明原因,以及替代性安全措施;
“可”表示信息系统管理者可按照业务实际情况,自主选择遵循或不遵循相应的要求来实现安全保护。
“—”表示该项不做要求。
