标准详情
GB/T 39786-2021是中国在信息安全领域,特别是在商用密码应用与安全性评估方面的一项重要国家标准。该标准于2021年3月发布,并于同年10月1日正式实施,旨在规范和指导信息系统中密码技术的应用,确保信息的安全性和可靠性。
1. 标准背景与意义
GB/T 39786-2021的发布,响应了《中华人民共和国密码法》的要求,为商用密码应用提供了纲领性和框架性指导。该标准不仅涉及密码技术的技术要求,还包括管理要求,覆盖了物理和环境安全、网络和通信安全、设备和计算安全以及应用和数据安全等多个层面。
2. 标准结构与内容
GB/T 39786-2021按照不同的密码应用级别,从物理和环境、网络和通信、设备和计算、应用和数据安全四个维度提出了技术要求。同时,从管理制度、人员管理、建设运行和应急处置四个方面提出了管理要求。
物理和环境安全:涉及机房安全、物理访问控制等。
网络和通信安全:包括网络边界安全、通信数据传输安全等。
设备和计算安全:涉及服务器、数据库等关键设备的安全性。
应用和数据安全:包括数据的机密性、完整性和可用性。
3. 技术要求与管理要求
技术要求侧重于信息系统中密码技术的应用,确保信息的机密性、完整性和真实性。管理要求则侧重于密码应用的组织和制度建设,包括人员管理、建设运行和应急处置。
4. 标准的应用与实施
GB/T 39786-2021为信息系统责任单位提供了制定密码应用方案的直接依据。信息系统责任单位应根据业务需求和安全需求,制定密码应用方案,并进行标准符合性自查。
5. 标准与网络安全等级保护的关系
GB/T 39786-2021与GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》相衔接,明确了不同等级信息系统所使用的密码产品的安全级别要求。
6. 标准中“应”“宜”“可”的理解
GB/T 39786—2021对于每一个密码应用要求项,采用“应”“宜”或“可”来表达不同的约束程度。其中,“应”表示必须遵循的要求,“宜”表示推荐性建议,“可”表示允许的行为。
7. 总结
GB/T 39786-2021的实施,标志着中国在商用密码应用与安全性评估方面迈出了重要一步。该标准不仅为信息系统的密码应用提供了明确的技术与管理要求,而且为信息系统责任单位在制定密码应用方案时提供了具体的指导。通过遵循这一标准,可以有效地提高信息系统的安全性,保护关键信息资源,促进信息安全技术的发展。
有样品要送检?试试一键送检,15分钟极速响应
微信公众号: 企检网