ICS03.060 CCSA11 JR 中华人民共和国金融行业标准 JR/T0255—2022 金融行业信息系统商用密码应用基本要 求 Informationsystemcommercialcryptographyapplicationoffinancial industry—Basicrequirements 2022-11-25发布 2022-11-25实施 中国人民银行  发布JR/T0255—2022 I目次 前言..................................................................................II 引言.................................................................................III 1范围.................................................................................4 2规范性引用文件.......................................................................4 3术语和定义...........................................................................4 4缩略语...............................................................................6 5概述.................................................................................7 6通用要求.............................................................................8 7密码应用基本要求.....................................................................8 附录A（资料性）金融行业重要信息系统密码应用设计示例...................................13 附录B（资料性）不同级别密码应用基本要求汇总...........................................17 附录C（资料性）JR/T0071.2中关于密码应用要求与本文件的对应关系.......................19 附录D（资料性）密码应用方案模板.......................................................21 附录E（资料性）密钥生存周期管理.......................................................23 参考文献..............................................................................25JR/T0255—2022 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国人民银行科技司提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国人民银行科技司、中国证券监督管理委员会科技监管局、北京国家金融科技 认证中心有限公司、中国金融电子化集团有限公司、中国银联股份有限公司、北京银联金卡科技有限公 司、中金金融认证中心有限公司、中互金认证有限公司、中国工商银行股份有限公司、中国建设银行股 份有限公司、中国民生银行股份有限公司、蚂蚁科技集团股份有限公司、中证信息技术服务有限责任公 司、国家信息技术安全研究中心、中国银河证券股份有限公司、格尔软件股份有限公司、北京海泰方圆 科技股份有限公司、北京信安世纪科技股份有限公司、北京数字认证股份有限公司。 本文件主要起草人：李伟、姚前、陈立吾、刘铁斌、潘润红、车珍、沈筱彦、陈炜、夏磊、王涛、 昝新、曹正阳、段越、侯漫丽、郭师嘉、张海燕、唐辉、李振、李凡、高强裔、孙国栋、刘文娟、陈雪 峰、马成龙、李禹泽、王大地、王炤宇、张璐、李博文、汤洋、郑峥、张光巧、李增局、赵旭、靳芸生、 刘书洪、姜志辉、安辉耀、周桉、于博洋、范佳奇、林青、魏自恩、梅养真、陈红梅、王学进、王翊心、 候宇。JR/T0255—2022 III引言 金融行业是国民经济的重要领域，金融行业网络安全是国家网络安全的重要组成部分，密码技术作 为保障网络安全的核心技术，是金融信息保护和网络信任体系建设的基础。随着国家商用密码应用相关 标准的发布，需要一系列适用于金融行业信息系统商用密码应用的标准作为支撑，以规范和指导金融行 业信息系统商用密码应用和商用密码应用安全性评估工作的实施，从而保障金融行业商用密码应用的合 规、正确、有效，有力提升金融行业网络安全防护水平。 本文件是金融行业信息系统商用密码应用系列标准之一，金融行业信息系统商用密码应用系列标准 包括以下标准。 ——《金融行业信息系统商用密码应用基本要求》。 ——《金融行业信息系统商用密码应用测评要求》。 ——《金融行业信息系统商用密码应用测评过程指南》。 本文件根据GB/T22239《信息安全技术网络安全等级保护基本要求》的等级保护对象应具备的基 本安全保护能力要求，结合金融行业业务特点及安全保护需求，在GB/T39786《信息安全技术信息系 统密码应用基本要求》的基础上，提出金融行业密码应用自低向高的5个等级，分别为第一级、第二级、 第三级、第四级和第五级。 本文件中，对于“可”的条款，金融行业信息系统责任单位自行决定是否纳入密码应用范围。对于 “宜”的条款，金融行业信息系统责任单位根据信息系统密码应用方案和方案评审意见决定是否纳入密 码应用范围，若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明，则应将该条款纳 入信息系统密码应用范围。对于“应”的条款，金融行业信息系统责任单位应将其纳入信息系统密码应 用范围，若根据信息系统的密码应用方案和方案评审意见，判定信息系统确无与该条款相关的密码应用 需求，则不将该条款纳入信息系统密码应用范围。JR/T0255—2022 4金融行业信息系统商用密码应用基本要求 1范围 本文件规定了金融行业信息系统不同等级的密码应用基本要求，从密码算法合规性、密码技术合规 性、密码产品和密码服务合规性方面提出了密码应用通用要求，从金融行业信息系统的物理和环境安全、 网络和通信安全、设备和计算安全、应用和数据安全4个技术层面提出了第一级到第四级的密码应用技 术要求，从管理制度、人员管理、建设运行和应急处置4个方面提出了第一级到第四级的密码应用管理 要求。结合金融行业尚无第五级密码应用的实际，本文件对第五级密码应用技术要求和管理要求暂不做 具体描述。 本文件适用于指导金融机构、商用密码应用安全性评估机构和金融行业主管部门实施信息系统商用 密码应用的规划、建设、运行、测评及监督管理。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T22240信息安全技术网络安全等级保护定级指南 GB/T37092信息安全技术密码模块安全要求 GB/T39786信息安全技术信息系统密码应用基本要求 GM/T0054信息系统密码应用基本要求 JR/T0068网上银行系统信息安全通用规范 JR/T0071.2金融行业网络安全等级保护实施指引第2部分：基本要求 JR/T0158证券期货业数据分类分级指引 JR/T0185商业银行应用程序接口安全管理规范 JR/T0197金融数据安全数据安全分级指南 3术语和定义 下列术语和定义适用于本文件。 3.1 机密性confidentiality 保证信息不被泄露给非授权实体的性质。 [来源：GB/T39786，3.1] 3.2 数据完整性dataintegrity 数据没有遭受以非授权方式所作的改变的性质。 [来源：GB/T39786，3.2] 3.3 真实性authenticityJR/T0255—2022 51个实体是其所声称实体的特性。 注：真实性适用于用户、进程、系统和信息之类的实体。 [来源：GB/T39786，3.3，有修改] 3.4 不可否认性non-repudiation 证明1个已经发生的操作行为无法否认的性质。 [来源：GB/T39786，3.4] 3.5 加密encipherment；encryption 对数据进行密码变换以产生密文的过程。 [来源：GB/T39786，3.5] 3.6 解密decipherment；decryption 加密过程对应的逆过程。 [来源：GM/T0054，3.5] 3.7 密码算法cryptographicalgorithm 描述密码处理过程的运算规则。 [来源：GM/T0054，3.6] 3.8 密钥key 控制密码算法运算的关键信息或参数。