《信息安全技术 信息系统密码应用基本要求》指标比对学习

终于看到了GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的发布版本。密小白对国标版和行标版的密码应用要求汇总表进行了比对学习，对两个版本的变化进行了梳理比对，跟大家一起学习分享。

一、在指标要求上最突出的两个变化：

1、密码产品的安全等级要求整体降低。

行标版“宜/应采用符合GM/T 0028的X级及以上密码模块或通过国家密码管理核准的硬件密码产品实现密码运算和密钥管理。”其中二级要求为宜二级，三级要求为宜三级，四级要求为应四级。

国标版修改为两条：（1）以上如采用密码服务，该密码服务应符合法律法规的相关要求，需依法接受检测认证的，应经商用密码认证机构认证合格；（2）以上采用的密码产品，应达到GB/T 37092X级及以上安全要求。其中二级要求改为应一级，三级要求改为应二级，四级要求改为应三级

2、密钥管理方面进行大幅调整。

行标版有一章单独的密钥管理要求。

国标版中，将管理有关的要求，放在管理制度中提出，要求形成密钥管理技术建立相应密钥管理制度、方案、策略。将技术方面的描述放在在资料性附录A中阐述。因为密钥管理技术方面的要求主要依托密码产品落实，而不是在信息系统建设中落实。

二、八个要求维度的具体变化

在上述两个变化基础上，下面将从国标版的八个维度进行比对学习：物理和环境安全、网络和通信安全、设备和计算安全、 应用和数据安全、管理制度、人员管理、建设运行、应急处置。

来源：商密知识

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。

往期精彩

国家密码管理局局长李兆宗： 新时代密码工作的坚强法律保障

国家密码管理局局长李兆宗： 全面贯彻实施密码法 奋力开创新时代密码工作新局面

国家密码管理局副局长何良生： 依法加强密码治理 推动数字经济发展

国家密码管理局副局长刘平： 《中华人民共和国密码法》解读

国家密码管理局副局长徐汉良： 依法推动商用密码管理 开创商用密码工作新局面

国家密码管理局商密办主任李国海： 《中华人民共和国密码法》解读：保护国家秘密的密码

国家密码管理局副巡视员霍炜： 密码与数字生态深度融合成为新方向

点分享

点

点

本文来自网络或网友投稿，如有侵犯您的权益，请发邮件至：aisoutu@outlook.com 我们将第一时间删除。