ICS35.030 CCSL80 中华人民共和国密码行业标准 GM/T0133—2024 关键信息基础设施密码应用要求 Requirementsforcriticalinformationinfrastructurecryptographyapplication 2024-12-27发布 2025-07-01实施 国家密码管理局发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 总体原则 2 ………………………………………………………………………………………………… 6 密码应用实施要求 2 ……………………………………………………………………………………… 6.1 密码应用规划 2 ……………………………………………………………………………………… 6.2 密码应用建设 3 ……………………………………………………………………………………… 6.3 密码应用运行 3 ……………………………………………………………………………………… 6.4 密码应用安全性评估 3 ……………………………………………………………………………… 7 密码应用技术和管理要求 4 ……………………………………………………………………………… 7.1 基本要求 4 …………………………………………………………………………………………… 7.2 增强技术要求 4 ……………………………………………………………………………………… 7.2.1 网络和通信安全 4 ……………………………………………………………………………… 7.2.2 设备和计算安全 4 ……………………………………………………………………………… 7.2.3 应用和数据安全 5 ……………………………………………………………………………… 7.3 增强管理要求 5 ……………………………………………………………………………………… 7.3.1 人员管理 5 ……………………………………………………………………………………… 7.3.2 建设运行 5 ……………………………………………………………………………………… 7.3.3 密码产品和服务 6 ……………………………………………………………………………… 7.3.4 密钥管理 6 ……………………………………………………………………………………… 8 密码运行安全保障要求 6 ………………………………………………………………………………… 8.1 密码资源弹性供给 6 ………………………………………………………………………………… 8.2 密码运行状态监测预警 6 …………………………………………………………………………… 8.3 密码运行安全事件应急处置 6 ……………………………………………………………………… 附录A(资料性) 关键信息基础设施密码应用要求汇总列表 8 ………………………………………… 参考文献 11 …………………………………………………………………………………………………… ⅠGM/T0133—2024前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位:北京数字认证股份有限公司、公安部第三研究所、中国科学院信息工程研究所、 北京市经济和信息化局网络安全管理中心、中国科学院大学、兴唐通信科技有限公司、华为技术有限公 司、中电科网络安全科技股份有限公司、商用密码检测认证中心、中国移动通信集团有限公司、国家计算 机网络应急技术处理协调中心、昆仑数智科技有限责任公司、中国电子科技集团公司第十五研究所、 中国石油化工集团有限公司、上海证券交易所、上交所技术有限责任公司、中互金认证有限公司、公安部 第一研究所、中科信息安全共性技术国家工程研究中心有限公司、中国电力科学研究院有限公司、上海 交通大学、鼎铉商用密码测评技术(深圳)有限公司、教育部教育管理信息中心、中国电子技术标准化研 究院、中国信息通信研究院、国家信息中心、中国工业互联网研究院、中国金融电子化集团有限公司、 中国工商银行股份有限公司、中国国家铁路集团有限公司科技和信息化部、中电信数智科技有限公司、 天翼云科技有限公司、联通智慧安全科技有限公司、深圳市网安计算机安全检测技术有限公司、长春吉 大正元信息技术股份有限公司、三未信安科技股份有限公司。 本文件主要起草人:夏冰冰、詹榜华、林雪焰、陈海虹、李佳曦、王晗、王佳欢、夏鲁宁、杜皎、张永强、 黎水林、王勇、贾世杰、马原、陈天宇、赵阳、郑昉昱、刘尚焱、邵萌、彭红、张立廷、罗鹏、张立花、张艳、 张晓娜、张嵩、刘健、杨龙、黄喆磊、朱立、房慧丽、李增局、李秋香、刘志宇、周世杰、胡建勋、高振鹏、 李智虎、银鹰、陈磊、肖飞、张鹏、黄晶晶、徐秀、罗海宁、查奇文、李振、李萌、张文塔、王建峰、刘乐、 南杰慧、邓诗智、赵丽丽、高志权。 ⅢGM/T0133—2024引 言 为落实《中华人民共和国网络安全法》《中华人民共和国密码法》《商用密码管理条例》《关键信息基 础设施安全保护条例》中的相关要求,保障关键信息基础设施的安全稳定运行,关键信息基础设施的安 全保护建设在遵循GB/T39204—2022《信息安全技术 关键信息基础设施安全保护要求》的前提下, 采用密码技术对关键信息基础设施实施合规、正确、有效的保护,实现体系化密码应用。 总体而言,关键信息基础设施运营者开展密码应用工作时,在遵循GB/T39786—2021《信息安全 技术 信息系统密码应用基本要求》的基础上,重点考虑关键业务在稳定性、业务持续性方面的保障要 求,从整体视角出发分析识别关键业务所面临的安全风险,落实本文件中提出的对关键信息基础设施实 施重点保护所需的密码应用实施要求、密码应用技术和管理要求以及密码运行安全保障要求,切实保障 关键信息基础设施安全稳定运行。 ⅣGM/T0133—2024关键信息基础设施密码应用要求 1 范围 本文件规定了关键信息基础设施的密码应用实施要求、密码应用技术和管理要求、密码运行安全保 障要求。 本文件适用于指导和规范关键信息基础设施运营者对关键信息基础设施密码应用的规划、建设、运 行及安全性评估,也可供关键信息基础设施安全保护的其他相关方参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T25069—2022 信息安全技术 术语 GB/T39204—2022 信息安全技术 关键信息基础设施安全保护要求 GB/T39786—2021 信息安全技术 信息系统密码应用基本要求 3 术语和定义 GB/T22239—2019、GB/T25069—2022、GB/T39204—2022、GB/T39786—2021界定的以及下 列术语和定义适用于本文件。 3.1 关键信息基础设施 criticalinformationinfrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领 域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重 要网络设施、信息系统等。 [来源:GB/T39204—2022,3.1] 3.2 关键信息基础设施边界 criticalinformationinfrastructureboundary 所有关键信息基础设施要素的集合。 3.3 商用密码保障系统 cryptographicsecuritysystem 通过商用密码算法、密码协议、密钥管理机制等密码技术实现,能够提供一种或多种密码功能,用于 保障网络和信息系统安全稳定运行并维护身份真实性、数据的完整性和机密性、行为不可否认性的 系统。 注:密码功能包括但不限于加密传输、加密存储、数字签名、密钥管理等。 3.4 重要数据 keydata 特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害 1GM/T0133—2024国家安全、经济运行、社会稳定、公共健康和安全的数据。 注:仅影响组织自身或公民个体的数据一般不作为重要数据。 [来源:GB/T43697—2024,3.2] 3.5 核心数据 coredata 对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共 享,可能直接影响政治安全的重要数据。 注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,国家有 关部门评估