国家市场监督局：信息安全技术——信息系统密码应用设计技术要求（征求意见稿）

近日，全国信息安全标准化技术委员会发布了《信息安全技术 信息系统密码应用设计技术要求》（征求意见稿）（以下简称《征求意见稿》），面向社会公开征求意见。 《征求意见稿》提出了信息系统密码应用方案设计技术的建议，包括信息系统应用层设计指南、密码服务支撑设计指南、计算平台密码应用设计指南、密钥管理设计指南等方面；适用于信息系统建设方、密码技术应用方、密码技术服务方，为开展信息系统密码应用方案设计提供指导参考。 《征求意见稿》指出，密码应用设计是以信息系统的安全需求为基础，梳理对应的密码应用需求，如信息系统不存在对应的密码应用需求或存在其他替代性风险控制措施而不采用密码技术的，在密码应用方案设计时需要进行风险评估和论证。信息系统责任单位根据信息系统的密码应用需求，设计使用密码技术来满足信息系统安全需求的业务处理机制和流程。在设计过程中，需要根据信息系统安全需求确定密码应用需求，设计密码技术方案，明确密码服务提供模式和计算平台的密码设计，此外还需要梳理信息系统使用的密钥并进行密钥安全管理设计。 信息系统密码应用技术设计完成后，需要进行安全与合规性分析，针对信息系统密码应用需求和GB/T 3978