GM ICS 35.030 CCS L 80 中华人民共和国密码行业标准 GM/T0139—2024 信息系统密码应用安全管理体系 Information system cryptography application security managementsystems 2024-12-27发布 2025-07-01实施 国家密码管理局 发布 GM/T0139—2024 目 次 前言 III 引言 IV 1范围 2规范性引用文件 3术语和定义 4缩略语 5 密码应用安全管理体系概述 6管理保障 6.1组织保障 6.2 服务保障 7密码应用安全风险管理 7.1通用要求 7.2密码应用安全风险评估 7.3 密码应用安全风险处置 6 8密码应用安全控制 6 8.1 管理制度 8.2人员管理 8 8.3环境和资源管理 10 8.4 规划和建设管理 12 8.5 运行和维护管理 13 8.6应急管理 15 8.7监督和检查管理 16 8.8安全审计 16 9有效性测量和持续改进 17 9.1监视、测量和分析 17 9.2持续改进 18 10密码应用安全管理体系评估 18 10.1自评估 18 10.2第三方评估 18 附录A (规范性) 信息系统密码应用安全管理体系过程文件 20 A.1通则 20 A.2信息系统密码应用安全风险管理类文件 20 A.3信息系统密码应用安全控制类文件 20 A.4有效性测量和持续改进类文件 21 A.5密码应用安全管理体系评估类文件 21 I GM/T0139—2024 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位：工业和信息化部电子第五研究所、广州赛宝认证中心服务有限公司、北京电子科 技学院、中国科学院信息工程研究所、中国科学院大学、北京数字认证股份有限公司、暨南大学、北京信 安世纪科技股份有限公司、深圳市腾讯计算机系统有限公司。 本文件主要起草人：李丹、卢列文、高锐、尤博、云雷、刘北水、姚莹、古宜平、姚锐冬、肖威、彭辉、 邓贵钊、程保琨、金诚斌、陈艳、段沛鑫、阎亚龙、马原、郑防昱、张永强、谭武征、汪宗斌、谢灿、杜大海。 GM/T0139—2024 引言 为了对组织的信息系统密码应用安全管理提供整体、统一的模型和方法，从管理层面保障信息系统 密码应用安全，制定本文件。本文件可作为组织基于GB/T22080实现信息安全管理体系(ISMS)过程 中选择控制时的参考，或作为组织在实现密码应用安全管理控制时的指南。在考虑信息系统安全等级 和具体密码应用信息安全风险环境后，本文件也可用于制定特定行业和特定组织满足GB/T39786- 2021密码应用管理要求的指南。 IV GM/T0139—2024 信息系统密码应用安全管理体系 1 范围 本文件规定了组织建立、实施、运行、保持和持续改进密码应用安全管理体系的要求，从管理层面给 出了密码应用安全控制措施和实施指南。 本文件适用于信息系统运营者等与密码应用相关的各种类型、规模和特性的组织，适用于网络安全 等级保护第一级到第四级的信息系统。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T22080一2016信息技术安全技术信息安全管理体系要求 GB/T22240信息安全技术网络安全等级保护定级指南 GB/T25069—2022信息安全技术术语 GB/T29246一2023信息安全技术信息安全管理体系 概述和词汇 GB/T39786—2021信息安全技术信息系统密码应用基本要求 GB/T43207信息安全技术信息系统密码应用设计指南 GM/Z4001—2013密码术语 3术语和定义 GB/T22240和GM/Z4001一2013界定的以及下列术语和定义适用于本文件。 3. 1 组织organization 具有自身的职责、权威和关系以实现其目标的个人或集体。 注：组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校，或者其部分或 组合，无论注册成立与否、是公共的还是私营的。 3.2 控制control 改变风险的措施。 注1：控制包括任何改变风险的过程、策略、装置、实践或其他措施。 注2：控制可能并不总是发挥出预期或假定的改变效果。 3.3 有效性effectiveness 实现所计划活动和达成所计划结果的程度。 1