信息系统密码应用基本要求|国标GBT39786-2021与行标GMT0054-2018对比

    根据2021年3月9日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2021年第3号），全国信息安全标准化技术委员会归口的GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》国家标准（以下简称国标）正式发布，并于2021年10月1日起实施 。

    与行标GMT0054-2018相比，国标将在全国范围多行业内适用，且其他各级标准不得与国标相抵触，GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》将成为未来很长时间信息系统安全标准体系中的主体。

    要注意的是2017年我国修订了标准化法，“在公布国家标准之后，该项行业标准即行废止”的叙述已删除。国家标准发布实施之后，行业标准、团体标准与国标不符的，分为两种情况：与强制性国标冲突的条文，自动作废；与推荐性国家标准冲突的，未公布作废的行业标准、团体标准仍可选择性执行。简单来说，行业标准和国家标准是并行的，如果发生冲突则以国家标准为准。

    在GBT39786-2021之后，一系列标准和文件均以该标准为基础，包括：

    （1）GMT0115-2021 信息系统密码应用测评要求

    （2）GMT0116-2021 信息系统密码应用测评过程指南

    （3）信息系统密码应用高风险判定指引

    （4）商用密码应用安全性评估量化评估规则

    （5）商用密码应用安全性评估报告模板（2023版）

    （6）商用密码应用安全性评估 FAQ （第二版）

    具体内容上对比国标和行标的具体异同。

结构GMT0054-2018GBT39786-2021差异分析引言对“密码技术”、“密码”和“可、宜、应”定义解释。无范围
标准规定信息系统商用密码应用的基本要求。

适用范围用于指导、规范和评估信息系统中的商用密码应用。

规定信息系统第一级到第四级4个技术层面和4个管理层面要求。（说明第五级）

在本标准基础之上，各领域与行业可结合本领域与行业的密码应用需求来指导，规范信息系统密码应用。
增加信息系统等级（1-5级）规范性引用文件
GMT0005 随机性检测规范

GMT0028密码模块安全技术要求

GMT0036采用接触卡的门禁系统密码应用技术指南

GMZ4001-2013密码术语
GBT37092密码模块安全要求术语和定义14个术语定义去掉解密、密码算法和数字签名微缩语MAC无总体要求密码算法、密码技术、密码产品和密码服务作为通用要求提出，密码产品和服务应符合法律法规的相关要求。增加通用要求密码功能要求机密性（4）、完整性（11）、真实性（6）和不可否认性（实体行为）应用场景和保护对象
技术框架，提出4个技术要求，4个管理要求。具体要求维度，按照机密性（4）、完整性（10，删除可信计算技术建立从系统到应用的信任链）、真实性（6，修改可信计算技术的平台身份鉴别）和不可否认性（数据原发和接收行为）。具体4个密码应用管理维度（管理制度、人员管理、建设运行和应急处置）。

要求等级描述（第1-5级），不同等级密码应用基本要求简表附录A。
删除可信计算技术相关，增加要求等级描述技术要求
按照4个安全层面（总则、等级保护第1级-第四级）展开。

指标要求：

（a）物理和环境安全-身份鉴别（可宜应应）、电子门禁记录数据完整性（可宜应应）、视频记录数据完整性（--应应）

（b）网络和通信安全-身份鉴别（可宜应应）、通信数据完整性（可可宜应）、通信数据机密性（可宜应应）、访问控制信息完整性（可宜应应）、集中管理通道安全（--应应）

（c）设备和计算安全-身份鉴别（可宜应应）、访问控制信息完整性（可宜应应）、敏感标记完整性（可宜应应）、日志记录完整性（可宜应应）、远程管理身份鉴别信息机密性（-宜应应）、重要程序或文件完整性（--应应）

（d）应用和数据安全-身份鉴别（可宜应应）、访问控制（可宜应应）、数据传输安全（可宜应应）、数据存储安全（可宜应应）、日志记录完整性（可宜应应）、重要应用程序的加载和卸载（--应应）、抗抵赖（---应）

将4个安全层面中的总则合并成通用要求。

按照第1级到4级展开，每个等级包括4个安全层面。

指标体系：

（a）物理和环境安全-身份鉴别（可宜宜应）、电子门禁记录数据存储完整性（可可宜应）、视频监控记录数据存储完整性（--宜应）

（b）网络和通信安全-身份鉴别（可宜应应）、通信数据完整性（可可宜应）、重要数据机密的机密性（可宜应应）、网络边界访问控制信息的完整性（可可宜应）、安全接入认证（--可宜）

（c）设备和计算安全-算法鉴别（可宜应应）、远程管理通道安全（--应应）、系统资源控制信息完整性（可可宜应）、重要信息资源安全标记完整性（--宜应）、日志记录完整性（可可宜应）、重要可执行程序完整性和来源真实性（--宜应）

（d）应用和数据安全-身份鉴别（可宜应应）、访问控制信息完整性（可可宜应）、重要信息资源安全标记完整性（--宜应）、重要数据传输机密性（可宜应应）、重要数据存储机密性（可宜应应）、重要数据传输完整性（可宜宜应）、重要数据存储完整性（可宜宜应）、不可否认性（--宜应）
整体结构变化，从1-4等级维度展开。适当降低部分指标的要求（2、3等级），更新部分测评指标。密钥管理密钥管理按照信息系统第1-4级分别要求，包括密钥生成、密码存储、密钥分发、密钥导入和导出、密钥使用、密钥备份和恢复、密钥归档、密钥销毁。附录B 密钥生存周期管理不再按照系统等级来分别要求密钥管理过程，而是通过密码产品安全等级要求保证密码管理安全。安全管理
安全管理

（a）制度-制定密码安全管理制度（可宜应应）、定期修改安全管理制度（可宜应应）、明确管理制度发布流程（-宜应应）、制度执行过程记录留存（---应）

（b）人员-了解并遵守密码相关法律法规（应应应应）、正确使用密码相关产品（应应应应）、建立岗位责任及人员培训制度（-应应应）、建立关键岗位人员保密制度和调离制度（-应应应）、设置密码管理和技术岗位并定期考核（--应应）、背景调查（---应）

（c）规划（可宜应应）、建设（可宜应应）、运行（可宜应应）

（d）应急预案（-应应应）、事件处置（可应应应）、向有关主管部门上报处置情况（--应应）

管理要求

（a）管理制度-具备密码应用安全管理制度（应应应应）、密钥管理规则（应应应应）、建立操作规程（-应应应）、定期修改安全管理制度（--应应）、明确管理制度发布流程（--应应）、制度执行过程记录留存（--应应）

（b）人员管理-了解并遵守密码相关法律法规和密码管理制度（应应应应）、建立密码应用岗位责任制度（-应应应）、建立上岗人员培训制度（-应应应）、定期进行安全岗位人员考核（--应应）、建立关键岗位人员保密制度和调离制度（应应应应）

（c）制定密码应用方案（应应应应）、制定密钥安全管理策略（应应应应）、制定实施方案（应应应应）、投入运行前进行密码应用安全性评估（可宜应应）、定期开展密码应用安全性评估及攻防对抗演习（--应应）

（d）应急策略（可应应应）、事件处置（--应应）、向有关主管部门上报处置情况（--应应）
增加一些指标，提高部分指标要求。在管理要求中强调了密钥管理的内容。附录A安全要求对照表不同级别密码应用基本要求汇总列表技术要求中通用要求统一（包括密码服务和密码产品），密钥管理不再单独作为指标，在GMT0115-2021中将密钥管理作为通用要求，不单独判定符合性。附录B密码行业标准列表密钥生存周期管理只是给出密钥生存周期管理各环节的管理建议。