《政務“一朵云”安全管理體系規范第3部分：密碼應用安全性評估》（征求意見稿）編制說明一、目的意義近年來，黨和國家高度重視密碼技術在網絡安全工作中的重要作用，先后發布《中華人民共和國密碼法》等多項法律法規以及相關政策，推進信息系統密碼應用升級改造工作。《商用密碼應用安全性評估管理辦法（試行）》《國務院辦公廳關于印發國家政務信息化項目建設管理辦法的通知》《江蘇省省級政務信息化項目建設管理辦法》等相關文件均指出信息系統密碼應用安全性評估的必要性。政務云是數字政府建設的重要基礎底座，現有的法律、法規和政策多聚焦宏觀要求，更傾向于具體業務系統建設，缺少對政務云等重要基礎設施密碼應用安全性評估管理的規范性指導，省內各設區市政務云基礎設施運行管理機構普遍不了解政務云等基礎設施開展密碼應用安全性評估的工作流程。因此，抓緊制定針對性的相關標準，規范指導政務云等基礎設施開展密碼應用安全性評估，利用國產密碼技術保障政務云等基礎設施安全顯得尤為迫切。政務云密碼應用安全性評估標準制定，對于提升政務信息系統的安全性、保障政務數據的機密性、完整性和可用性具有重要意義。密碼應用安全性評估工作是國家對政務信息系統安全性提出的重要要求，標準能夠為政務云等基礎設施密碼應用安全性評估建設提供明確的政策和流程指導，有助于增強政府部門合理規劃密碼安全預算，優化運維資源配置等。政務云等基礎設施密碼應用安全性評估工作將推動密碼技術不斷創新與發展，為密碼產業提供新的市場機遇。標準最終實施需要密碼產品、解決方案、檢測服務等多方面的支持，將會帶動密碼產業鏈上下游企業高效協同和創新發展。二、任務來源本標準文件由江蘇省大數據管理中心申報。2023年8月，江蘇省市場監督管理局發布《省市場監管局關于下達2023年度江蘇省地方標準項目計劃的通知》，批準《電子政務外網安全管理體系規范》立項，標準項目承擔單位為江蘇省大數據管理中心。標準編制啟動后，根據新一輪機構改革調整設置情況，聽取政府數字化轉型各方專家和設區市意見建議，進一步明確標準制定目標和適用范圍，增強標準的針對性和實操性。為使標準內容更加準確符合指導全省政務云安全運行的實際定位，將標準名稱修改為《政務“一朵云”安全管理體系規范》。本次立項的《政務“一朵云”安全管理體系規范》共有3個部分，本標準文件是第3部分“密碼應用安全性評估”，標準的編制周期為1年。三、編制過程本標準主要編制工作過程如下：1.成立編制組2023年6月至7月期間，江蘇省大數據管理中心牽頭標準編制組組織省內政務云、商用密碼應用安全性評估相關行業單位和專家召開標準編制策劃啟動會，確定標準起草單位及專家名錄，各單位討論后確定標準大綱并明確分工任務。2.起草階段2023年8月-12月，各編制組對政務云基礎設施商用密碼應用安全性評估指南進行了全面而深入的調研和完善工作。編制期間，各編制組廣泛收集資料與業內專家深入討論。經過多次討論和修改，最終完成了標準草案的統稿工作。3.征求意見階段2024年1月-2月，標準編制組組織了專題研討會議，針對標準草案初稿征求意見，對收集到的專家意見進行了系統梳理和分析。2024年3月，根據標準草案初稿研討會結果，由省大數據管理中心牽頭組織各參編單位對標準草案初稿進行修改，形成標準草案更新版本，并再次征求了與會單位的意見和建議。通過以上行動，江蘇省大數據管理中心共收到回復意見21條。各編制組對每一條意見進行了認真分析、研究和討論，并結合實際情況進行了修改和完善。最終，這些意見全部被吸收采納，形成了標準的初審稿。4.初審與修訂階段2024年5月，江蘇省大數據管理中心組織召開了標準初審會。本次會議針對標準的形式和內容進行了深入討論，并結合實際情況提出了16條修改意見。依據研討會會議結果，標準編制組再次對標準內容進行修改，形成征求意見稿。2024年6月，由江蘇省大數據管理中心牽頭組織對標準征求意見稿征求意見，共征集各單位及行業專家有效意見12條，標準編制組采納10條意見對標準征求意見稿進行修改和完善。對于另外兩條意見，各編制組經過深入討論后認為，根據行業和規范的特定要求和實際情況，暫時無法采納。根據討論結果對標準進行修改，形成標準征求意見稿更新版。5.標準審查與報批階段2024年7月，江蘇省大數據管理中心據各方意見對地方標準進行修改完善后，?與編制說明、?有關行政主管部門意見、?征求意見采納情況等材料一并報送標準化行政主管部門（江蘇省市場監督管理局）進行技術審查。通過送審稿專家審查后，?針對審查專家意見進行修改，?完成報批稿。?這一階段對標準稿進行最終修改，?以確保符合所有相關法規和標準的要求，?為標準的正式發布做準備。?四、主要內容及技術指標確立編制單位結合近年來省內外政務云商用密碼應用安全性評估工作進行了總結分析，通過實地調研、專家研討和文件查閱等方式，確定了標準的主要內容和相關的技術指標。從密評相關法律法規及政策出發，緊密結合《江蘇省政務“一朵云”建設總體方案》相關要求，集省密碼管理部門、業務應用用戶（政府部門）、密評機構和密碼廠商多方意見，同時依據新建項目審核情況、密評業務咨詢情況、備案結果情況分析確立本標準具體內容。1.評估框架評估對象：政務云基礎設施按照保護主體一般包括物理環境設施、網絡通信設施、政務云資源設施、密碼基礎設施、網絡安全設施以及云租戶/政務信息系統。評估階段：規劃階段、建設階段和運行階段。評估類型：方案評估和系統評估。2.評估指南規劃階段：規定了規劃階段應進行方案評估。給出了方案評估過程中涉及的評估對象、評估依據、評估流程、評估內容、參與主體、輸出成果及評估結論。建設階段：規定了投入正式運行前應進行系統評估。給出了系統評估過程中涉及的評估對象、評估依據、評估流程、評估步驟、參與主體、輸出成果及評估結論。運行建設階段：規定了運行建設階段方案評估要求和系統評估周期要求。給出了評估結果應用和結果備案指導。五、與法律法規和相關標準的關系本標準遵守現行法律法規，并和強制性標準相協調一致。本標準制定中未采用國際標準，文中規范性引用的國家標準、行業標準均為政務云密碼應用安全性評估提供了相關依據。江蘇省地方標準《政務“一朵云”安全管理體系規范第3部分密碼應用安全性評估》》（DB32/TXXX—2024）規定了政務云基礎設施商用密碼應用安全性評估程序和要求，提出評估框架，在政務云基礎設施建設、規劃及運行階段的密評要求，并給出了評估結果應用和結果備案指導。六、作為推薦性或強制性標準的建議建議作為推薦性標準發布實施。七、預期效果及貫徹實施標準的要求、措施等建議標準實施過程中加強標準宣貫指導工作，制定標準宣傳培訓計劃，組織標準宣貫培訓工作。本標準發布后，召開專題培訓會，對全省政務“一朵云”密碼應用安全性評估進行標準解讀，對標準文件適用場景進行宣貫并推廣應用。召開全省政務云等基礎設施密評工作推進會議，調研13個設區市政務云等基礎設施密碼應用安全性評估工作落實情況，分析研究標準執行情況，匯總后召開分析