信息安全技術 電子文件密碼應用指南-編制說明

國家標準報批資料一、工作簡況1、任務來源根據全國信息安全標準化技術委員會下達的國家標準制修訂計劃（國標計劃號：20141132-T-469），由中安網脈（北京）技術股份有限公司牽頭編制《信息安全技術電子文件密碼應用指南》。2、標準編制的主要成員單位項目成員單位主要包括：北京海泰方圓科技有限公司、北京電子科技學院、北京書生公司、國家信息安全工程技術研究中心、中國軟件與技術服務有限公司。3、主要工作過程2014年3月8日，標準編制小組正式成立并召開了第一次會議。在該次會議上，編制小組成員討論了本規(guī)范的編制目的、意義和原則，制定了工作計劃并做了任務分工。2014年3月9日-10月22日，標準編制小組成員對現(xiàn)有的電子文件的相關標準規(guī)范進行了研究，重點分析了電子公文以及電子文件管理的相關標準，初步確定了電子文件的內涵，并形成了標準初稿。2014年10月23日-2015年4月，標準編制小組召開會議，修改標準初稿，并增加附錄A作為規(guī)范性附錄，定義了附錄中的內容結構。2015年5月-2015年9月，標準編制小組召開會議，修改標準初稿，并增加附錄B、C、D作為資料性附錄，定義了附錄中的內容結構。2015年10月-2016年5月，標準編制小組多次邀請外部專家對標準進行指導，在此過程中，刪除了附錄A、B、C、D，并提出電子文件結構可參考在研的《安全電子文件密碼應用技術規(guī)范》。2016年6月-2016年11月，標準編制小組多次召開會議，根據專家意見，修改標準，形成征求意見稿，并在密碼行業(yè)專家和標準參與單位內廣泛征求意見。2016年12月-2017年3月，根據征求意見稿收到的反饋意見對征求意見稿進行了修改完善。2017年4月8日，參加全國信息安全標準化技術委員會在武漢組織的第一次密碼工作組會議，與會專家對本標準進行了集中討論和認真審議，并提出了相關意見和建議。2017年4月9日-10月16日，根據武漢會議專家意見對標準進行修改，形成新的征求意見稿。2017年10月17日-10月18日，參加全國信息安全標準化技術委員會在廈門組織的第二次密碼工作組會議，與會專家對標準進行了再次集中討論和認真審議，并提出了相關意見和建議。2017年10月19日-11月16日，根據廈門會議專家意見對標準進行了修改，形成新的征求意見稿。2017年11月17日，參加密碼行業(yè)標準化技術委員會組織召開的安全電子文件相關標準專題研討會，會議對《安全電子文件密碼應用技術規(guī)范》、《信息安全技術安全電子文件密碼應用指南》與國家電子文件管理相關標準的一致性和協(xié)調性進行了研討，會議建議將《信息安全技術安全電子文件密碼應用指南》更名為《信息安全技術電子文件密碼應用指南》。2017年11月18日-2018年1月25日，根據專家意見，針對標準更名意見，對標準內容進行了相應的修改。2018年1月26日和2018年2月8日，中國電子技術標準化研究院兩次給出反饋意見，主要兩個方面的意見：1）關于標準對電子文件和文書類電子文件兩個概念的交互使用問題，需明確標準化對象；2）關于標準中要求性條款和建議性條款的表述不清問題，需明確是要求性還是推薦性，并修改標準中要求性與推薦性的表述用詞。2018年2月9日-2018年2月20日，根據中國電子技術標準化研究院反饋意見，對標準進行內容及格式修改，并增加第8章節(jié)“電子文件密碼應用的參考”，參考示例為附錄A-文書類電子文件形成辦理系統(tǒng)密碼應用示例，報送工作組征求意見。2018年4月9日,參加WG3工作組在北京召開的組內標準評審會，專家聽取了標準編制工作匯報，審閱了標準材料，質詢了相關問題，形成了修改意見。會后，標準編制小組根據專家意見修改了標準。2018年4月16日，參加了信安標委武漢會議周WG3工作組會議，與會專家聽取了標準編制工作匯報，審閱了標準材料，質詢了相關問題，并確認了標準更名意見。2018年5月，標準編制小組根據專家意見修改了標準，提交信安標委秘書處在全國范圍內征求意見。二、標準編制原則和確定主要內容的論據及解決的主要問題1、編制原則本標準的編制原則是：通用性；本標準的編制應為電子文件存儲和交換的應用系統(tǒng)提供統(tǒng)一的密碼體系及密碼操作規(guī)范，與應用系統(tǒng)的業(yè)務領域、使用文件類型和文件格式無關，按照本標準實現(xiàn)的應用系統(tǒng)，彼此之間的文件能夠互通互認。實用性；根據我國國情、實際使用環(huán)境和國家有關政策進行規(guī)范的制定，編制后的規(guī)范在指導產品研發(fā)方面具有實用價值。符合性；遵循國家現(xiàn)有密碼政策，符合國家有關法律法規(guī)和已編制標準規(guī)范的相關要求，符合國家密碼管理主管部門的要求。2、標準的主要內容及確定主要內容的依據本標準參照電子文件密碼應用技術規(guī)范（GM/TAAAA），參考了文書類電子文件形成辦理系統(tǒng)通用功能要求（GB/T31913）等技術標準，提出了電子文件密碼應用指南。本標準主要內容如下：范圍規(guī)范性引用文件術語縮略語概述電子文件的密碼操作方法應用系統(tǒng)的密碼應用方法電子文件密碼應用參考其中：第1章“范圍”，描述了本規(guī)范的適用范圍，規(guī)范的邊界等。第2章“規(guī)范性引用文件”，描述了本規(guī)范應用的相關文件。第3章“術語”列出了規(guī)范中使用的術語及定義。第4章“縮略語”列出了規(guī)范中使用的縮略語。第5章“概述”描述了電子文件密碼應用技術框架，并對框架中的各組成部分及相互關系加以說明。第6章“電子文件的密碼操作方法”為本規(guī)范的關鍵章節(jié)。本章節(jié)詳細介紹了電子文件在存儲與交換過程中，為實現(xiàn)其保密性、完整性、真實性、不可否認性的安全目標，可參考的密碼操作方法。第7章“應用系統(tǒng)的密碼應用方法”詳細描述了電子文件在存儲與交換的過程中，作為承載電子文件的應用系統(tǒng)應在身份鑒別、權限安全、交換安全、存儲安全和審計跟蹤等方面可參考的密碼應用方法。第8章“電子文件密碼應用參考”，根據標準提出的電子文件的密碼操作方法和應用系統(tǒng)密碼應用方法，本章節(jié)以附錄形式給出了電子文件密碼應用的參考—文書類電子文件形成辦理系統(tǒng)密碼應用示例。3、解決的主要問題通過描述電子文件的密碼操作方法，以及電子文件應用系統(tǒng)的密碼應用方法，本標準可為應用密碼技術安全處理電子文件提供指導，適用于電子文件應用系統(tǒng)的開發(fā)和使用。三、主要試驗情況分析參照本標準，通過分析電子文件全生命周期管理的政策要求、標準規(guī)范、安全需求、安全功能及應用需求，圍繞電子文件形成與辦理、歸檔與移交、保管與利用三個基礎環(huán)節(jié)，中安網脈（北京）技術有限公司研制開發(fā)了一套電子文件管理原型系統(tǒng)，該系統(tǒng)分別從基礎支撐、安全標識、流轉管理、外帶使用等四個方面為涉密電子文件的安全管理提供技術支撐，實現(xiàn)了涉密電子文件在其全生命周期內的保密性、完整性、真實性和不可否認性的安全目標，滿足涉密信息系統(tǒng)對電子文件全生命周期安全管理的需求。系統(tǒng)已在中安網脈（北京）技術有限公司及北京電子科技學院內部投入使用，達到了預期效果。四、知識產權情況說明本標準不涉及專利及知識產權問題。五、產業(yè)化情況、推廣應用論證和預期達到的經濟效果隨著信息化的發(fā)展，電子文件的安全將會越來越引起人們的重視，國家電子政務內網十三五規(guī)劃也明確提出要深化電子文件管理應用，各級黨委、政府、企事業(yè)單位等都在積極籌建電子文件應用系統(tǒng)，標準產業(yè)化前景廣闊，預計能帶來良好經濟效益。本標準可以在國家辦公資源多個領域進行了推廣，適用范圍包括中央機關、國家機關、地方政府、軍事機關、軍工企業(yè)、駐外涉密單位。針對涉密電子文件在形成與辦理、歸檔與移交、保管與利用等環(huán)節(jié)面臨的竊密泄密隱患和安全管理要求，為保障涉密電子文件的全生命周期的真實性、完整性、保密性和不可否認性提供有力的技術支撐。六、采用國際標準和國外先進標準情況無。七、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準具有一致性。八、重大分歧意見的處理經過和依據無。九、標準性質的建議建議作為國家推薦性標準發(fā)布。十