近日,国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2021年第3号),国家密码应用关键标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》正式发布,将于2021年10月1日正式实施。该标准由北京数字认证股份有限公司(以下简称“数字认证”)牵头制订,标准的发布对于规范引导信息系统合规、正确、有效地应用密码具有重大意义。
《中华人民共和国密码法》明确要求关键信息基础设施应当使用商用密码进行保护,开展商用密码应用安全性评估。2018年,由数字认证牵头制订的密码行业标准GM/T 0054-2018《信息系统密码应用基本要求》发布实施。此次在GM/T 0054-2018的基础上,结合两年来密码应用和安全性评估的实践进行完善,制订发布了国家标准GB/T 39786-2021。
GB/T 39786-2021从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了信息系统密码应用的技术要求,从管理制度、人员管理、建设运行和应急处置四个方面提出了管理要求。与GM/T 0054-2018相比,该标准加强了与GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的衔接,明确了不同等级信息系统所使用密码产品的安全级别要求,并结合密评工作开展实践,对内容进行了调整优化,使之更为科学合理。由行标到国标的升级转化,使GB/T 39786-2021成为商用密码应用安全性评估标准体系中最基础、最通用的核心标准,必将促进更多行业领域信息系统密码应用的健康发展。
本标准是网络运营者、系统承建者在信息系统规划、建设、运行阶段设计密码应用方案的重要依据,是密码测评机构开展密码应用安全性评估的顶层准则,也是密码管理部门进行监督检查的重要抓手,对有效规范商用密码应用,切实保障网络安全,具有不可替代的重要作用。
作为密码行业标准化技术委员会应用工作组的副组长单位,数字认证积极推进密码应用相关标准化工作。除牵头制订GM/T 0054-2018及GB/T 39786-2021外,也积极参与制订《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》《信息系统密码应用设计技术指南》《政务信息系统密码应用实施指南》《政务信息系统密码应用安全性评估实施指南》等密码应用与安全性评估标准规范。同时参与《政务信息系统密码应用与安全性评估工作指南》《商用密码应用与安全性评估》等相关政策文件、论著书籍的编写工作,开展相关标准、政策解读宣讲活动,为推动信息系统全生命周期密码合规、正确、有效应用贡献智慧。
未来,数字认证将以GB/T 39786-2021的发布为起点,在相关业务中继续推进密码应用的规范化,为建设安全可信的网络空间贡献力量!
【数字认证】
领先的网络信任与数字安全服务提供商(股票代码:300579),电子认证/电子签名/电子合同领域的市场领导者,应用覆盖政务、卫生、金融、大型企业、电信、航空、公路交通等多个行业,为近千万企业用户和数亿个人用户提供具有法律效力的无纸化交付服务。