ICS
03.060
CCS
A 11
JR
中 华 人 民 共 和 国 金 融 行 业 标 准
JR/T 0255—2022
金融行业信息系统商用密码应用 基本要
求
Information system commercial cryptography application of financial
industry—Basic requirements
2022 - 11 - 25 发布
2022 - 11 - 25 实施
中国人民银行
发 布
JR/T 0255—2022
I
目 次
前言 .................................................................................. II
引言 ................................................................................. III
1 范围 ................................................................................. 4
2 规范性引用文件 ....................................................................... 4
3 术语和定义 ........................................................................... 4
4 缩略语 ............................................................................... 6
5 概述 ................................................................................. 7
6 通用要求 ............................................................................. 8
7 密码应用基本要求 ..................................................................... 8
附录 A(资料性)金融行业重要信息系统密码应用设计示例 ...................................13
附录 B(资料性)不同级别密码应用基本要求汇总 ...........................................17
附录 C(资料性)JR/T 0071.2 中关于密码应用要求与本文件的对应关系 ....................... 19
附录 D(资料性)密码应用方案模板 .......................................................21
附录 E(资料性)密钥生存周期管理 .......................................................23
参考文献 .............................................................................. 25
JR/T 0255—2022
II
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国人民银行科技司提出。
本文件由全国金融标准化技术委员会(SAC/TC 180)归口。
本文件起草单位:中国人民银行科技司、中国证券监督管理委员会科技监管局、北京国家金融科技
认证中心有限公司、中国金融电子化集团有限公司、中国银联股份有限公司、北京银联金卡科技有限公
司、中金金融认证中心有限公司、中互金认证有限公司、中国工商银行股份有限公司、中国建设银行股
份有限公司、中国民生银行股份有限公司、蚂蚁科技集团股份有限公司、中证信息技术服务有限责任公
司、国家信息技术安全研究中心、中国银河证券股份有限公司、格尔软件股份有限公司、北京海泰方圆
科技股份有限公司、北京信安世纪科技股份有限公司、北京数字认证股份有限公司。
本文件主要起草人:李伟、姚前、陈立吾、刘铁斌、潘润红、车珍、沈筱彦、陈炜、夏磊、王涛、
昝新、曹正阳、段越、侯漫丽、郭师嘉、张海燕、唐辉、李振、李凡、高强裔、孙国栋、刘文娟、陈雪
峰、马成龙、李禹泽、王大地、王炤宇、张璐、李博文、汤洋、郑峥、张光巧、李增局、赵旭、靳芸生、
刘书洪、姜志辉、安辉耀、周桉、于博洋、范佳奇、林青、魏自恩、梅养真、陈红梅、王学进、王翊心、
候宇。
JR/T 0255—2022
III
引 言
金融行业是国民经济的重要领域,金融行业网络安全是国家网络安全的重要组成部分,密码技术作
为保障网络安全的核心技术,是金融信息保护和网络信任体系建设的基础。随着国家商用密码应用相关
标准的发布,需要一系列适用于金融行业信息系统商用密码应用的标准作为支撑,以规范和指导金融行
业信息系统商用密码应用和商用密码应用安全性评估工作的实施,从而保障金融行业商用密码应用的合
规、正确、有效,有力提升金融行业网络安全防护水平。
本文件是金融行业信息系统商用密码应用系列标准之一,金融行业信息系统商用密码应用系列标准
包括以下标准。
——《金融行业信息系统商用密码应用 基本要求》。
——《金融行业信息系统商用密码应用 测评要求》。
——《金融行业信息系统商用密码应用 测评过程指南》。
本文件根据GB/T 22239《信息安全技术 网络安全等级保护基本要求》的等级保护对象应具备的基
本安全保护能力要求,结合金融行业业务特点及安全保护需求,在GB/T 39786《信息安全技术 信息系
统密码应用基本要求》的基础上,提出金融行业密码应用自低向高的5个等级,分别为第一级、第二级、
第三级、第四级和第五级。
本文件中,对于“可”的条款,金融行业信息系统责任单位自行决定是否纳入密码应用范围。对于
“宜”的条款,金融行业信息系统责任单位根据信息系统密码应用方案和方案评审意见决定是否纳入密
码应用范围,若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明,则应将该条款纳
入信息系统密码应用范围。对于“应”的条款,金融行业信息系统责任单位应将其纳入信息系统密码应
用范围,若根据信息系统的密码应用方案和方案评审意见,判定信息系统确无与该条款相关的密码应用
需求,则不将该条款纳入信息系统密码应用范围。
JR/T 0255—2022
4
金融行业信息系统商用密码应用 基本要求
1 范围
本文件规定了金融行业信息系统不同等级的密码应用基本要求,从密码算法合规性、密码技术合规
性、密码产品和密码服务合规性方面提出了密码应用通用要求,从金融行业信息系统的物理和环境安全、
网络和通信安全、设备和计算安全、应用和数据安全4个技术层面提出了第一级到第四级的密码应用技
术要求,从管理制度、人员管理、建设运行和应急处置4个方面提出了第一级到第四级的密码应用管理
要求。结合金融行业尚无第五级密码应用的实际,本文件对第五级密码应用技术要求和管理要求暂不做
具体描述。
本文件适用于指导金融机构、商用密码应用安全性评估机构和金融行业主管部门实施信息系统商用
密码应用的规划、建设、运行、测评及监督管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T 22239 信息安全技术 网络安全等级保护基本要求
GB/T 22240 信息安全技术 网络安全等级保护定级指南
GB/T 37092 信息安全技术 密码模块安全要求
GB/T 39786 信息安全技术 信息系统密码应用基本要求
GM/T 0054 信息系统密码应用基本要求
JR/T 0068 网上银行系统信息安全通用规范
JR/T 0071.2 金融行业网络安全等级保护实施指引 第2部分:基本要求
JR/T 0158 证券期货业数据分类分级指引
JR/T 0185 商业银行应用程序接口安全管理规范
JR/T 0197 金融数据安全 数据安全分级指南
3 术语和定义
下列术语和定义适用于本文件。
3.1
机密性 confidentiality
保证信息不被泄露给非授权实体的性质。
[来源:GB/T 39786,3.1]
3.2
数据完整性 data integrity
数据没有遭受以非授权方式所作的改变的性质。
[来源:GB/T 39786,3.2]
3.3
真实性 authenticity