DB32/T 5073.3—2025 2025 ‑02‑21发布 2025 ‑03‑21实施 江苏省市场监督管理局 中 国 标 准 出 版 社　发　 布　 　出　 版　ICS 25.040 CCS L 70 政务“一朵云”安全管理体系规范 第3部分：密码应用安全性评估 Security management system specification for the “cloud” of government affairs—Part 3：security assessment of cryptography application江 苏 省 地 方 标 准 Ⅰ目　　次 前言…………………………………………………………………………………………………………… Ⅲ 引言…………………………………………………………………………………………………………… Ⅳ 1　范围………………………………………………………………………………………………………… 1 2　规范性引用文件 …………………………………………………………………………………………… 1 3　术语和定义 ………………………………………………………………………………………………… 1 4　总体要求 …………………………………………………………………………………………………… 2 5　评估指南 …………………………………………………………………………………………………… 3 6　结果应用 …………………………………………………………………………………………………… 6 附录 A（资料性）　主要技术要求解决方法 …………………………………………………………………… 8 附录 B（资料性）　密钥管理要求 ……………………………………………………………………………… 9 参考文献 ……………………………………………………………………………………………………… 10DB32/T 5073.3—2025前　　言 本文件按照 GB/T 1.1—2020《标准化工作导则　第 1部分：标准化文件的结构和起草规则 》的规定 起草。 本文件是 DB32/T 5073《政务“一朵云”安全管理体系规范 》的第 3部分。DB32/T 5073已经发布了 以下部分 ： ——第1部分：安全运行监测 ； ——第2部分：密码应用技术要求 ； ——第3部分：密码应用安全性评估 。 请注意本文件的某些内容可能涉及专利 ，本文件的发布机构不承担识别专利的责任 。 本文件由江苏省数据局提出并组织实施 。 本文件由江苏省数据标准化技术委员会 （JS/TC 88）归口。 本文件起草单位 ：江苏省大数据管理中心 。 本文件主要起草人 ：吴中东、忻超、黄敏、刘尧、杨扬、王文娟、刘鑫、蔡一凡、谷和启、张腾标、卢秋如、 任明聪、衡帅。 ⅢDB32/T 5073.3—2025引　　言 为加强统筹规划 ，全面提升全省政务云服务能力和安全运行水平 ，促进政务信息基础设施建设可持 续发展，根据《省政府关于加快统筹推进数字政府高质量建设的实施意见 》 （苏政发〔2022〕44号） 、 《江苏 省政务“一朵云”建设总体方案 》 （苏政发〔2023〕36号）的要求，建立健全全省政务 “一朵云”安全保障体 系，提升安全防护能力 ，制定本文件 。 DB32/T 5073《政务“一朵云”安全管理体系规范 》分为以下 3个部分： ——第1部分：安全运行监测 ； ——第2部分：密码应用技术要求 ； ——第3部分：密码应用安全性评估 。 ⅣDB32/T 5073.3—20251DB32/T 5073.3—2025 政务“一朵云”安全管理体系规范 第3部分：密码应用安全性评估 1　范围 本文件给出了政务云密码应用安全性评估总体要求 ，以及评估相关的阶段 、类型、对象、依据、流程、 内容、输出成果和参与主体 。 本文件适用于政务云运行管理单位 、政务云使用单位开展信息系统密码应用建设和商用密码应用安 全性评估工作 。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件 ；不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于本 文件。 GB/T 22240 —2020　信息安全技术　网络安全等级保护定级指南 GB/T 37092 —2018　信息安全技术　密码模块安全要求 GB/T 39786 —2021　信息安全技术　信息系统密码应用基本要求 GB/T 43206 —2023　信息安全技术　信息系统密码应用测评要求 GB/T 43207 —2023　信息安全技术　信息系统密码应用设计指南 GM/T 0116 —2021　信息系统密码应用测评过程指南 GM/T 0094 —2020　公钥密码应用技术体系框架规范 3　术语和定义 GB/T 25069 —2022和GM/Z 0001 —2013界定的以及下列术语和定义适用于本文件 。 3.1 政务云　 e‑government cloud 运用云计算技术 ，统筹利用机房 、计算、存储、网络、安全、应用支撑等软硬件设备 ，发挥云计算虚拟 化、高可靠性 、通用性、高扩展性以及快速 、按需、弹性的服务等特征 ，为政务信息系统提供基础设施 、支撑 软件、运行保障和信息安全等的综合服务平台 。 注：用“机房、计算、存储、网络、安全、应用支撑等软硬件设备 ”取代“机房资源 、计算资源 、存储资源 、网络资源 、信息 资源、应用支撑等资源 ” ，用“为政务信息系统提供基础设施 、支撑软件 、运行保障和信息安全等的综合服务平台 ” 取代“为各政务部门构建提供基础设施 、支撑软件 、应用系统 、信息资源 、运行保障和信息安全等服务的电子政务 综合性服务平台 ” 。 ［来源：GB/T 34078 .1—2017，2.1，有修改］ 3.2 政务“一朵云”　the “cloud”of government affairs 在省级行政区域统一建设和部署的政务云 （3.1） ，依托电子政务外网和互联网 ，运用云计算技术和智 能化工具 ，为该区域各类电子政务的业务应用系统提供计算资源 、存储资源 、服务支撑 、安全保障等共性2DB32/T 5073.3—2025 服务的新型信息基础设施 。 3.3 商用密码　 commercial cryptography 采用特定变换的方法对不属于国家秘密的信息等进行加密保护 、安全认证的技术 、产品和服务 。 ［来源： 《商用密码管理条例 》 ，第二条，有修改］ 3.4 商用密码应用安全性评估　 security assessment of commercial cryptography application 按照有关法律法规和标准规范 ，对网络与信息系统使用商用密码技术 、产品和服务的合规性 、正确 性、有效性进行检测分析和评估验证的活动 ，简称“密评” 。 ［来源： 《商用密码应用安全性评估管理办法 》 ，第二条］ 3.5 密码应用方案　 cryptography application scheme 用于指导信息系统责任主体合规 、正确、有效地使用密码技术 ，部署密码保障系统的规划 。 ［来源：GB/T 43207 —2023，3.1］ 3.6 密码资源池　 cryptography resource pool 一组密码物理资源或虚拟密码资源的集合 ，能够对密码资源进行实时监控 、合理分配和负载均衡 ，具 有可扩展性 、高性能、低风险等特点 （密码资源包括密码运算部件 、密钥存储部件和随机数发生器等 ） 。 ［来源：GM∕T 0094 —2020，3.9］ 4　总体要求 4.1　密评类型 密评包括商用密码应用方案评估 （简称“方案评估 ” ）和信息系统商用密码应用安全性评估 （简称“系 统评估” ） 。 4.2　密评对象 政务云密评对象包括 ： a）方案评估对象为密码应用方案 ； b）系统评估对象为政务云独立开展或拟开展等级保护定级的物理环境设施 、网络通信设施 、计算 资源设施 、密码基础设施 、网络安全设施或其组合 ；或政务信息系统及其他相关对象 。 4.3　密评要求 政务云密评总体要求包括 ： a）应在政务云规划阶段开展方案评估 ； b）应在政务云建设阶段开展系统评估 ； c）应在政务云运行阶段开展系统评估或方案评估 。3DB32/T 5073.3—2025 5　评估指南 5.1　规划阶段 5.1.1　评估对象 本文件 4.2 密评对象 a）条款中所指对象 。 5.1.2　评估依据 规划阶段的评估依据包括 ： ——GB/T 39786 —2021； ——GB/T 43207 —2023； ——《信息系统密码应用高风险判定指引 》 ； ——《商用密码应用安全性评估量化评估规则 》 ； ——《商用密码安全性评估 FAQ》 ； ——密码算法 /技术 /产品等相关标准规范 ； ——《密码应用方案 》商用密码应用安全性评估报告 （模板） ； ——信息系统业务设计 、安全需求文档 ； ——网络安全等级保护测评报告 （如有） ； ——其他相关依据 。 5.1.3　评估流程 方案评估流程包括方案评估准备 、开展方案评估 、评估结果反馈 、方案整改 、形成评估报告 、完成方案 评估。具体流程如图 1所示。 @ @ @3N @  ED@ @  图1　方案评估流程4DB32/T 5073.3—2025 5.1.4　评估内容 通过形式审查和技术审查等方式对密码应用方案进行评