JR/T 0257-2022《金融行业信息系统商用密码应用 测评过程指南》

JR/T 0257-2022《金融行业信息系统商用密码应用 测评过程指南》基本信息

标准号：JR/T 0257-2022

中文名称：《金融行业信息系统商用密码应用 测评过程指南》

发布日期：2022-11-25    

实施日期：2022-11-25

发布部门：中国人民银行    

提出单位：中国人民银行科技司    

归口单位：全国金融标准化技术委员会（SAC/TC 180）    

起草单位：中国人民银行科技司、中国证券监督管理委员会科技监管局、北京国家金融科技认证中心有限公司等

起草人：李伟、姚前、陈立吾、刘铁斌、潘润红、车珍等    

中国标准分类号：A11金融、保险

国际标准分类号：03.060金融、银行、货币体系、保险

JR/T 0257-2022《金融行业信息系统商用密码应用 测评过程指南》介绍

中国人民银行于2022年11月25日发布了JR/T 0257-2022《金融行业信息系统商用密码应用 测评过程指南》（以下简称《指南》），旨在规范金融行业信息系统商用密码应用的测评过程，提高金融行业信息系统的安全防护能力。

一、《指南》的主要内容

《指南》主要包括以下几个方面的内容：

1、测评范围与要求

《指南》明确了金融行业信息系统商用密码应用测评的范围，包括但不限于金融行业信息系统中使用的密码算法、密码产品、密码服务等。同时，《指南》对测评工作提出了具体的要求，包括测评机构的资质、测评人员的素质、测评方法的选择等。

2、测评流程

《指南》规定了金融行业信息系统商用密码应用测评的具体流程，包括测评准备、测评实施、测评报告编制等环节。在测评准备阶段，需要对测评对象进行充分的了解，明确测评目标和要求，制定测评方案。在测评实施阶段，需要按照测评方案进行系统的测评，并对发现的问题进行整改。在测评报告编制阶段，需要对测评结果进行总结，形成测评报告。

3、测评方法

《指南》提出了金融行业信息系统商用密码应用测评的几种常用方法，包括黑盒测试、白盒测试、灰盒测试等。黑盒测试主要针对系统的输入和输出进行测试，不关心系统的内部实现；白盒测试主要针对系统的内部实现进行测试，需要对系统的源代码进行分析；灰盒测试则介于黑盒测试和白盒测试之间，既考虑系统的输入和输出，也考虑系统的内部实现。

4、测评报告

《指南》对金融行业信息系统商用密码应用测评报告的编制提出了具体的要求。测评报告需要包括测评对象的基本情况、测评目标和要求、测评过程、测评结果、存在的问题及建议等内容。同时，测评报告需要按照规定的格式进行编制，以便于信息的传递和交流。

二、《指南》的意义

《指南》的发布对于金融行业信息系统的安全具有重要的意义：

1、规范测评过程

《指南》对金融行业信息系统商用密码应用测评的过程进行了规范，有助于提高测评工作的质量和效率。

2、提高安全防护能力

通过《指南》的实施，可以提高金融行业信息系统的安全防护能力，降低系统被攻击的风险。

3、促进行业发展

《指南》的发布有助于推动金融行业信息系统商用密码应用的规范化和标准化，促进金融行业的健康发展。

JR/T 0257-2022《金融行业信息系统商用密码应用 测评过程指南》的发布，对于金融行业信息系统的安全具有重要的意义。各金融机构应认真学习和贯彻《指南》的要求，提高自身的安全防护能力，为金融行业的健康发展做出贡献。