《金融行业信息系统商用密码应用》系列标准正式发布

 2022年11月25日，由中国人民银行科技司、中国证监会科技监管局共同提出并组织起草，北京国家金融科技认证中心（以下简称国金认证）牵头编制的《金融行业信息系统商用密码应用》系列金融行业标准正式发布。

据悉，该系列标准包括《金融行业信息系统商用密码应用 基本要求》（JR/T 0255—2022）、《金融行业信息系统商用密码应用　测评要求》（JR/T 0256—2022）和《金融行业信息系统商用密码应用　测评过程指南》（JR/T 0257—2022）三项。

JR/T 0255—2022依据GB/T 39786—2021、JR/T 0197—2020等国家标准和金融行业标准进行编制，从密码算法合规性、密码技术合规性、密码产品和密码服务合规性三方面提出了密码应用通用要求，从金融行业信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求，从管理制度、人员管理、建设运行和应急处置四方面提出了第一级到第四级的密码应用管理要求。

JR/T 0256—2022依据GM/T 0115—2021等标准进行编制，规定了金融行业信息系统不同等级密码应用的测评要求，从密码算法合规性、密码技术合规性、密码产品合规性、密码服务合规性和密钥管理安全性方面，提出了第一级到第五级的密码应用通用测评要求；从金融业信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级密码应用技术的测评要求；从管理制度、人员管理、建设运行和应急处置四个管理方面提出了第一级到第四级密码应用管理的测评要求。同时，规定了整体测评、风险分析和评价、测评结论等测评环节的要求。

JR/T 0257—2022规定了金融行业信息系统商用密码应用的测评过程，包括密码应用实施过程、测评基本原则、测评风险识别和测评风险规避，描述了密码应用方案评估和信息系统密评的测评活动。