| 修订项 | 2021版本原文 | 2023版本原文 | 差别 |
第一章 范围 | 本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。 | 本文件适用于规范信息系统密码应用安全性评估,以及指导相关信息系统的规划、建设等工作。 | 增加:适用于规范信息系统密码应用安全性评估 |
第三章 原则 | 3) 鼓励使用密码技术;特别鼓励使用合规的密码算法/技术/产品/服务。 | 3) 鼓励使用合规的密码算法/技术/产品/服务。 | 修订:强调使用合规的密码技术 |
第四章 量化评估框架 | 密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。 | 密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统 中使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或 通过国家密码管理部门审查鉴定。 | 修订:行政法规、国家有关规定和密码相关国家标准 |
第五章 量化评估规则 | ➽量化规则 |
| 修订: 1. 通过修改评分规则,强调密码算法、密码技术及密码产品的合规性。 2. 技术要求部分分值恒定为70分,管理制度分值恒定为30分 |
第六章 量化评估阈值 | 整体量化评估结果 S 为 100 分,则判定被测信息系统符合 GB/T 39786-2021 相应等级要 求;S 低于 100 分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本 符合 GB/T 39786-2021 相应等级要求;否则,判定被测信息系统不符合 GB/T 39786-2021 相 应等级要求。 | 采用本文件进行量化评估时,GM/T 0115—2021“9. 评估结论”中的得分阈值为60分。 | 修订:第六章内容修订为量化评估阈值,并对得分阈值进行说明。 |
新修订 | 商用密码应用安全性评估量化评估规则
作者/来源:密码头条 发表时间:2023-07-28
