《商用密码应用安全性评估量化评估规则》(2023版)已于2023年7月发布,将在8月1日正式执行。相比较2021版,新版本有多处内容更新,具体包括5处微调和5处较大更新。
微调部分(5处)
| 序号 | 2021版本 | 2023版本 |
| 1 | 本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。 | 本文件适用于规范信息系统密码应用安全性评估,以及指导相关信息系统的规划、建设等工作。 |
| 2 | 鼓励使用密码技术;特别鼓励使用合规的密码算法/技术/产品/服务; | 鼓励使用合规的密码算法/技术/产品/服务 |
| 3 | 密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。 | 密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统中使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或通过国家密码管理部门审查鉴定。 |
| 4 | 5. 量化规则 | 5. 量化评估规则 |
| 5 | 6. 整体结论判定 | 6. 量化评估阈值 |
更新部分(5处)
| 序号 | 2021版 | 2023版 |
| 1 | 测评对象得分取值范围为{0, 0.25, 0.5, 1} | 测评对象得分取值范围为[0, 1] 若测评对象 A 弥补了测评对象 B 的不足,测评对象 A 的分值为 PA,测评对象 B 的弥补前分值为 PB,则测评对象 B 弥补后的分值为 MAX(0.5×PA, PB),即 0.5×PA 和PB之间的较大值(四舍五入,取小数点后 4 位)。 |
| 2 | 无Ra修正,相当于Ra=1 |
增加密码算法/技术合规性修正参数Ra Ra的取值范围{0.2, 0.5, 1} 当算法安全强度小于80比特,Ra=0.2 当算法安全强度小于112比特,Ra=0.5 当算法安全强度不小于112比特,Ra=1 |
| 3 | 无Rk修正,相当于Rk=1 | 增加密钥管理安全修正参数Rk Rk的取值范围{1, 1.2, 1.5} 对于第1、2级信息系统:Rk=1 对于第3级信息系统:使用1级密码模块且满足GMT0115 5.5要求,Rk=1.2,其他情况Rk=1 对于第4级信息系统:使用2级密码模块且满足GMT0115 5.5要求,Rk=1.5,其他情况Rk=1 |
| 4 | 量化评估结果 S 为所有 n个安全层面测评结果 Si的加权平均值
|
密码应用技术要求和密码应用管理要求两部分分值保持固定(技术和管理得分影响独立)
|
| 5 | 整体量化评估结果 S 为 100 分,则判定被测信息系统符合 GB/T 39786-2021 相应等级要求;S 低于 100 分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本符合 GB/T 39786-2021 相应等级要求;否则,判定被测信息系统不符合 GB/T39786-2021 相应等级要求。 | 采用本文件进行量化评估时,GM/T 0115-2021“9. 评估结论”中的得分阈值为60分。 |
