1、ICS03.060CCSA 11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 02552022金融行业信息系统商用密码应用基本要求Information system commercial cryptography application of financialindustryBasic requirements2022-11-25 发布2022-11-25 实施中国人民银行发 布JR/T 02552022I目次前言.II引言.III1 范围.42 规范性引用文件.43 术语和定义.44 缩略语.65 概述.76 通用要求.87 密码应用基本要求.8附录 A(资料性)金融行
2、业重要信息系统密码应用设计示例.13附录 B(资料性)不同级别密码应用基本要求汇总.17附录 C(资料性)JR/T 0071.2 中关于密码应用要求与本文件的对应关系.19附录 D(资料性)密码应用方案模板.21附录 E(资料性)密钥生存周期管理.23参考文献.25JR/T 02552022II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国人民银行科技司提出。本文件由全国金融标准化技术委员会(SAC/TC 180)归口。本文件起草单位:中国人民银行科技司、
3、中国证券监督管理委员会科技监管局、北京国家金融科技认证中心有限公司、中国金融电子化集团有限公司、中国银联股份有限公司、北京银联金卡科技有限公司、中金金融认证中心有限公司、中互金认证有限公司、中国工商银行股份有限公司、中国建设银行股份有限公司、中国民生银行股份有限公司、蚂蚁科技集团股份有限公司、中证信息技术服务有限责任公司、国家信息技术安全研究中心、中国银河证券股份有限公司、格尔软件股份有限公司、北京海泰方圆科技股份有限公司、北京信安世纪科技股份有限公司、北京数字认证股份有限公司。本文件主要起草人:李伟、姚前、陈立吾、刘铁斌、潘润红、车珍、沈筱彦、陈炜、夏磊、王涛、昝新、曹正阳、段越、侯漫丽、郭
4、师嘉、张海燕、唐辉、李振、李凡、高强裔、孙国栋、刘文娟、陈雪峰、马成龙、李禹泽、王大地、王炤宇、张璐、李博文、汤洋、郑峥、张光巧、李增局、赵旭、靳芸生、刘书洪、姜志辉、安辉耀、周桉、于博洋、范佳奇、林青、魏自恩、梅养真、陈红梅、王学进、王翊心、候宇。JR/T 02552022III引言金融行业是国民经济的重要领域,金融行业网络安全是国家网络安全的重要组成部分,密码技术作为保障网络安全的核心技术,是金融信息保护和网络信任体系建设的基础。随着国家商用密码应用相关标准的发布,需要一系列适用于金融行业信息系统商用密码应用的标准作为支撑,以规范和指导金融行业信息系统商用密码应用和商用密码应用安全性评估工
5、作的实施,从而保障金融行业商用密码应用的合规、正确、有效,有力提升金融行业网络安全防护水平。本文件是金融行业信息系统商用密码应用系列标准之一,金融行业信息系统商用密码应用系列标准包括以下标准。金融行业信息系统商用密码应用基本要求。金融行业信息系统商用密码应用测评要求。金融行业信息系统商用密码应用测评过程指南。本文件根据GB/T 22239信息安全技术网络安全等级保护基本要求的等级保护对象应具备的基本安全保护能力要求,结合金融行业业务特点及安全保护需求,在GB/T 39786信息安全技术信息系统密码应用基本要求的基础上,提出金融行业密码应用自低向高的5个等级,分别为第一级、第二级、第三级、第四级
6、和第五级。本文件中,对于“可”的条款,金融行业信息系统责任单位自行决定是否纳入密码应用范围。对于“宜”的条款,金融行业信息系统责任单位根据信息系统密码应用方案和方案评审意见决定是否纳入密码应用范围,若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明,则应将该条款纳入信息系统密码应用范围。对于“应”的条款,金融行业信息系统责任单位应将其纳入信息系统密码应用范围,若根据信息系统的密码应用方案和方案评审意见,判定信息系统确无与该条款相关的密码应用需求,则不将该条款纳入信息系统密码应用范围。JR/T 025520224金融行业信息系统商用密码应用基本要求1范围本文件规定了金融行业信息系统不同等级的密码应用基本要求,从密码算法合规性、密码技术合规性、密码产品和密码服务合规性方面提出了密码应用通用要求,从金融行业信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个技术层面提出了第一级到第四级的密码应用技术要求,从管理制度、人员管理、建设运行和应急处置4个方面提出了第一级到第四级的密码应用管理要求。结合金融行业尚无第五级密码应用的实际,本文件对第五级密码应用技术要
安全达人 