ICS03.060 CCSA11 JR 中华人民共和国金融行业标准 JR/T0257—2022 金融行业信息系统商用密码应用测评过 程指南 Informationsystemcommercialcryptographyapplicationoffinancial industry—Testingandevaluationprocessguide 2022-11-25发布 2022-11-25实施 中国人民银行发布JR/T0257—2022 I目次 前言..................................................................................II 引言.................................................................................III 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4概述.................................................................................1 5密码应用方案评估.....................................................................3 6信息系统密评.........................................................................6 参考文献..............................................................................16JR/T0257—2022 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国人民银行科技司提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国人民银行科技司、中国证券监督管理委员会科技监管局、北京国家金融科技 认证中心有限公司、中国金融电子化集团有限公司、中国银联股份有限公司、北京银联金卡科技有限公 司、中金金融认证中心有限公司、中互金认证有限公司、中国工商银行股份有限公司、中国建设银行股 份有限公司、中国民生银行股份有限公司、蚂蚁科技集团股份有限公司、上海证券交易所、大连商品交 易所、中国证券业协会、中国证券投资基金业协会。 本文件主要起草人：李伟、姚前、陈立吾、刘铁斌、潘润红、车珍、沈筱彦、陈炜、夏磊、王涛、 昝新、曹正阳、段越、侯漫丽、郭师嘉、张海燕、唐辉、李振、李凡、高强裔、孙国栋、刘文娟、陈雪 峰、马成龙、李禹泽、王大地、张璐、李博文、汤洋、郑峥、张光巧、李增局、赵旭、靳芸生、刘书洪、 姜志辉、朱立、张新帅、赵刚、梅亚雷。JR/T0257—2022 III引言 金融行业是国民经济的重要领域，金融行业网络安全是国家网络安全的重要组成部分，密码技术作 为保障网络安全的核心技术，是金融信息保护和网络信任体系建设的基础。随着国家商用密码应用相关 标准的发布，需要一系列适用于金融行业信息系统商用密码应用的标准作为支撑，以规范和指导金融行 业信息系统商用密码应用和商用密码应用安全性评估工作的实施，从而保障金融行业商用密码应用的合 规、正确、有效，有力提升金融行业网络安全防护水平。 本文件是金融行业信息系统商用密码应用系列标准之一，金融行业信息系统商用密码应用系列标准 包括以下标准。 ——《金融行业信息系统商用密码应用基本要求》。 ——《金融行业信息系统商用密码应用测评要求》。 ——《金融行业信息系统商用密码应用测评过程指南》。JR/T0257—2022 1金融行业信息系统商用密码应用测评过程指南 1范围 本文件规定了金融行业信息系统商用密码应用的测评过程，包括密码应用实施过程、测评基本原则、 测评风险识别和测评风险规避，描述了密码应用方案评估和信息系统商用密码应用安全性评估（简称密 评）的测评活动。 本文件适用于商用密码应用安全性评估机构、金融行业信息系统责任单位开展密评工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GM/T0116信息系统密码应用测评过程指南 JR/T0255金融行业信息系统商用密码应用基本要求 JR/T0256金融行业信息系统商用密码应用测评要求 3术语和定义 JR/T0255《金融行业信息系统商用密码应用基本要求》和JR/T0256《金融行业信息系统商用密 码应用测评要求》中界定的以及下列术语和定义适用于本文件。 3.1 测评方testingandevaluationagency 对金融行业信息系统或信息系统密码应用方案开展密评的主体。 注：测评方通常是商用密码应用安全性评估机构或金融行业信息系统责任单位。 [来源：GM/T0116，3.1，有修改] 3.2 被测单位agencyundertestingandevaluation 金融行业信息系统的责任单位。 [来源：GM/T0116，3.2，有修改] 4概述 4.1密码应用实施过程 金融行业信息系统责任单位按照国家和金融行业商用密码应用相关要求，在信息系统规划、建设和 运行阶段，同步规划、同步建设、同步运行密码保障措施并开展密评。在金融行业信息系统密码应用实 施过程中，密评主要包含密码应用方案评估和信息系统密评，金融行业信息系统密码应用实施过程如图 1所示。JR/T0257—2022 2 图1信息系统密码应用实施过程 在系统规划阶段，责任单位宜分析系统现状，对系统面临的安全风险和风险控制需求进行分析，明 确系统密码应用需求。责任单位宜根据系统密码应用需求及JR/T0255等标准，编制系统密码应用方案， 并自行或委托密评机构对密码应用方案进行评估。 在系统建设阶段，责任单位宜按照通过评估的密码应用方案建设密码保障措施，涉及密码应用方案 调整优化的，宜再次对调整后的密码应用方案进行评估确认。系统建设完成后，自行或委托密评机构对 系统开展密评。若系统密评未通过，责任单位宜对系统进行整改后再次开展密评，直至系统通过密评后 上线运行。 在系统运行阶段，责任单位宜定期对系统开展密评，若系统密评未通过，责任单位宜对系统进行整 改后再次开展密评。系统运行期间的密码应用安全遵循持续改进的原则，责任单位宜根据系统各项密码 技术和管理措施的落实情况，及时检查、总结、调整现有密码应用安全措施。若系统约束条件发生重要 变化，必要时，责任单位宜修订密码应用方案，根据修订后的密码应用方案对系统进行整改升级。 4.2测评基本原则 测评方对金融行业信息系统开展密评时，宜遵循以下原则。 a)客观公正性原则。测评方宜保证在符合国家密码管理部门要求、行业管理部门要求及最小主观 判断情形下，按照与被测单位共同认可的密评方案，基于明确定义的测评方式和解释，实施测 评活动。 b)可重用性原则。测评工作可重用已有测评结果，包括商用密码检测认证结果和密评的测评结果 等。所有重用结果都宜以已有测评结果仍适用于当前被测信息系统为前提，并能够客观反映系 统当前的安全状态。 c)可重复性原则和可再现性原则。依照同样的要求，使用同样的测评方法，在同样的环境下，对 测评实施过程的重复执行宜得到同样的结果。可重复性和可再现性的区别在于，可重复性关注 同一密评人员测评结果的一致性，可再现性关注不同密评人员测评结果的一致性。 d)结果完善性原则。在正确理解JR/T0256各要求项内容的基础上，采用正确的测评方法，获得 的测评结果宜客观反映信息系统的密码应用安全现状。 4.3测评风险识别 测评工作的开展可能会给被测信息系统带来一定风险，测评方宜在测评开始前及测评过程中及时进 行风险识别。测评过程面临的风险主要包括以下内容。 a)验证测试可能影响被测信息系统正常运行。现场测评需要对设备和系统进行一定的验证测试工 作，验证测试工作可能对被测信息系统的正常运行造成不可预期的影响。JR/T0257—2022 3b)工具测试可能影响被测信息系统正常运行。在现场测评时，根据实际需要可能会使用一些测试 工具进行测试。测试工具可能会产生冗余数据，同时可能会对系统的负载造成一定影响，进而 影响甚至损害被测信息系统的服务器和网络通信。 c)可能导致被测信息系统敏感信息泄漏。测评过程中，可能泄露被测信息系统的敏感信息，例如 加密机制、业务流程、安全机制和有关文档资料等。 d)其他可能面临的风险。在测评过程中，可能出现影响被测信息系统可用性、机密性和完整性的 风险。 4.4测评风险规避 在测评过程中，可以采取以下措施规避风险。 a)签署委托测评协议书。在测评工作正式开始之前，测评方和被测单