电子招投标平台商用密码应用规范编制说明

—团体标准《电子招投标平台商用密码应用规范》（征求意见稿）编制说明编制背景标准名称及编号标准名称：电子招投标平台商用密码应用规范标准编号：T/GXCUAXX-2025本标准为首次发布。任务来源2025年9月22日广西计算机用户协会下发团体标准《电子招投标平台商用密码应用规范》立项通知，由广西投资集团咨询有限公司牵头起草的该项团体标准正式立项。编制目的和意义（一）目的1.建立电子招投标平台密码应用统一规范体系通过制定本规范，统一电子招投标平台密码应用的的分层架构与业务流程要求，解决当前电子招投标平台商用密码应用不规范、不统一的问题，为电子招投标平台的安全可靠运行提供技术保障。2.提升电子招投标平台密码安全保障能力规范身份认证、电子签章、数据加解密、时间戳等核心密码服务在招投标各环节的应用流程，重点保障投标文件加密、开标解密等关键操作的安全性，提升电子招投标系统对数据篡改、身份冒用、信息泄露等安全风险的防护能力，保障招投标活动的公平、公正、公开。3.支撑行业合规与协同发展通过统一商用密码应用标准，推动各类电子招投标系统协同发展，加强国密算法在电子招投标领域的规模化应用，促进不同平台间技术接口的兼容性，为构建全区统一的电子招投标监管体系奠定基础，助力优化营商环境。（二）意义‌1.提升电子招投标平台安全水平通过规范商用密码应用的技术要求与管理规范，确保平台在数据传输、存储、验证等环节满足机密性、完整性、不可否认性与可追溯性需求，保障招投标活动的安全性和可靠性。2.促进电子招投标行业规范发展为电子招投标系统的设计、开发、检测、运营提供统一的技术规范，推动行业健康有序发展，提升电子招投标服务的质量和效率。3.增强监管能力和公众信任为监管部门提供可量化、可验证的技术评估依据，强化对招投标活动的全过程监督，同时通过技术透明性提升市场主体对平台的信任度。标准起草单位及标准编制工作组本标准由广西投资集团咨询有限公司发起，得到密码技术单位、第三方密评机构等相关单位的支持，起草单位包括：广西投资集团咨询有限公司、XXX等。为使标准制定更合理，更具可操作性，由广西投资集团咨询有限公司发起组建标准编制工作组，由标准起草单位抽调技术骨干负责标准编制工作。标准工作组成员包括标准化领域技术人员、商用密码领域技术人员和网络安全的管理人员，确保了标准编制的规范化。起草人为XXX。标准编制原则和依据编制原则标准内容的编制坚持以下原则：规范性原则标准的用语、格式等本文件严格按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》编写本标准的内容，保证标准的编写质量。可操作性原则本标准基于电子招投标平台的实践，通过‌明确业务流程密码应用和评估‌要求，制定‌招标文件编制、投标响应评审、合同签订履行、争议处理机制‌规范，为招投标企业、代理机构、监管方‌提供统一‌操作框架及风险防控‌。规范‌电子签名效力、文件加密传输、评标定标的应用‌要求，降低‌人为干预风险、数据泄露隐患、流程执行偏差等‌，提升‌招投标效率、透明度、公平性、公信力‌。结合实际原则本规范紧密结合‌行业发展趋势、电子招投标技术特性，针对操作随意性、风险隐蔽性‌等特点，重点解决平台安全风险、数据保密、流程可追溯‌等实际问题。在确保合规性的前提下，坚持理论与实际相结合，广泛听取各方意见，确定电子招投标平台商用密码应用规范的‌要求和指标。编制依据本标准严格按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则起草，标准主要内容参考‌《电子招标投标办法》（国家发展改革委令第20号）、《公共资源交易平台服务标准（试行）》（发改办法规〔2019〕915号）、《电子招标投标系统检测认证管理办法（试行）》（2015年国家认监委、国家发展改革委会发布的文件）《电子招标投标系统技术规范第1部分：交易平台技术规范》（电子招投标办法附件2013年5月1日起施行）、《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规及政策文件‌，以及《GB/T32905信息安全技术SM3密码杂凑算法》《GB/T32907信息安全技术SM4分组密码算法》《GB/T32918.5信息安全技术SM2椭圆曲线公钥密码算法第5部分：参数定义》《GB/T39786信息安全技术信息系统密码应用基本要求》《GB/T38540信息安全技术安全电子签章密码技术规范》《GM/Z0001密码术语》《GM/T0095电子招投标密码应用技术要求》等国家、行业标准‌，结合‌广西投资集团咨询有限公司等参编单位在电子招投标平台的实践情况‌，并征求‌行业专家、法律顾问、技术支撑单位及部分市场主体代表‌意见后起草制定。标准编制过程标准编制筹备工作2025年7月，成立标准编制筹备工作组并召开标准启动会，就制定标准预研工作任务进行了分解部署。预研阶段2025年8月，收集相关国家标准、行业标准以及交通建设行业供应链金融平台的问题，对标准编制项目进行必要性和可行性分析。编制《团体标准制修订项目申报书》，并向广西计算机用户协会提交立项申请。标准立项阶段2025年9月22日，团体标准《电子招投标平台商用密码应用规范》正式立项。成立标准编制工作组2025年9月，召开组建起草工作组专题会,成立了标准编制工作组，制定了起草编写方案与进度安排，明确任务职责，确定工作技术路线，开展团体标准的编制工作：标准编制工作组下设调研组、草案编写组、标准实施组：调研组负责国内有关电子招投标平台商用密码应用文献资料的查询、收集和整理工作，梳理现有研究对电子招投标平台商用密码应用研究情况和目前区内实际情况。草案编写组负责起草标准草案、征求意见稿和标准编制说明、送审稿和编制说明的编写工作，包括后期网上征求意见，召开征求意见会、技术审查会以及标准的不断修改和完善。标准实施组负责团体标准发布后，组织相关主体开展标准宣贯培训会，对标准进行详细解读，并根据标准对电子招投标平台进行管理，为切实保障管理有效，并对标准实施情况进行总结分析，不断对标准提出修正意见。理论研究阶段标准编制工作组成立后，对电子招投标平台商用密码应用进行了深入的调查研究，收集了区内外相关的材料、相关标准和国外技术资料,主要有：《‌电子招标投标办法》明确了电子招标投标活动的法律依据、参与主体权利义务、电子招标投标系统建设要求、信息共享机制以及监督管理规则，为电子招标投标全流程提供了制度框架。《公共资源交易平台服务标准（试行）》规定了公共资源交易平台的服务内容、服务流程、服务质量要求、服务评价与改进等内容，旨在提升公共资源交易平台的服务效率和透明度。《电子招标投标系统检测认证管理办法（试行）》建立了电子招标投标系统的检测认证制度，明确了检测认证机构资质、检测认证程序、检测认证结果应用及监督管理要求，保障系统安全可靠运行。《电子招标投标系统技术规范第1部分：交易平台技术规范》规定了电子招标投标交易平台的功能要求、性能要求、接口要求、数据格式要求、安全要求及测试方法，为交易平台开发建设提供技术依据。《GB/T32905信息安全技术SM3密码杂凑算法》规定了SM3密码杂凑算法的计算方法和计算步骤，并给出了运算示例。《GB/T32907信息安全技术SM4分组密码算法》规定了SM4分组密码算法的算法结构和算法描述,并给出了运算示例《GB/T32918.5信息安全技术SM2椭圆曲线公钥密码算法第5部分：参数定义》规定了SM2椭圆曲线公钥密码算法的曲线参数，适用于数字签名、密钥交换和消息加解密等场景。《GB/T39786信息安全技术信息系统密码应用基本要求》规定了信息系统密码应用的基本要求，包括密码算法、密码技术、密码产品、密码服务等内容，保障信息系统密码应用安全。《GB/T38540信息安全技术安全电子签章密码技术规范》规定了采用密码技术实现电子印章和电子签章的数据结构定义，以及相应的生成与验证流程，适用于电子印章系统的开发和使用，也可用于指导该类系统的检测。《GM/Z0001密码术语》给出了商用密码工程领域的基础术语及其定义。《GM/T0005随机性检测规范》规定了二元序列的随机性检测指标和检测方法，适用于对二元序列的随机性检测，也可用于指导随机数发生器的研制、开发和检测。《GM/T0008安全芯片密码检测准则》规定了安全芯片的三个安全等级，以及相应的密码检测要求，适用于安全芯片的密码检测，亦可指导安全芯片的研制。《GM/T0024SSLVPN技术规范》规定了SSLVPN的技术协议、产品研制要求以及产品检测要求及判定标准。《GM/T0033时间戳接口规范》规定了面向应用系统和时间戳系统的时间戳服务接口，包括时间戳请求和响应消息的格式、传输方式和时间戳服务接口函数。《GM/T0034基于SM2密码算法的证书认证系统密码及其相关安全技术规范》》规定了基于SM2密码算法的数字证书认证系统的密码及相安全的技术要求，包括证书认证中心、密钥管理管理中心、数密码算法、密码设备及接口等‌。《GM/T0059密码设备管理设备管理技术规范》规定了密码设备管理的体系结构、管理流程、安全通道协议、管理信息结构、应用接口和标准管理消息格式。《GM/T0095电子招投标密码应用技术要求》规定了密码技术在电子招投标业务中的使用，包括在电子招投标过程中，使用密码算法、密码产品的技术要求，适用于指导电子招投标系统中密码子系统的设计、实现和使用，对于电子招投标系统中密码子系统的测试、管理可参照使用。对上述资料进行了大量的研究分析、资料查证工作后，确定了标准的制定原则；起草单位和相关人员有着丰富的电子招投标平台应用的经验，为标准的起草奠定了基础。起草工作组进一步研究了目前电子招投标平台商用密码应用的现状，梳理了标准分类的可能性，明确了编制要求和指标，为标准的具体起草明确了方向。编制标准草案2025年9月，广西计算机用户协会对标准提出单位相关成员进行了GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的讲解。在前期预研工作的基础上，确定了标准的适用范围、相关术语和技术内容，形成了团体标准草案。组织召开标准内部研讨会，编制完成标准讨论稿2025年10月，标准编制工作组就草案初稿开展了多次内部研论，并多次对标准进行修改和完善，形成了标准讨论稿。组织召开标准内部评审会，修订完成征求意见稿2025年11月，标准编制工作组就讨论稿召开内部评审会议，根据评审意见，完善并形成了标准征求意见稿。各项内容的确定和依据说明本规范适用于电子招投标平台的开发、建设、运营、管理和密码应用安全性评估，规定了总体要求、应用框架、业务流程密码应用要求以及密码应用评估的内容。总体要求依据《‌GB/T39786信息安全技术信息系统密码应用基本要求》‌，确定平台商用密码应用要符合‌GB/T39786的基本要求，遵循‌《电子招标投标系统技术规范第1部分：交易平台技术规范》8.2‌的要求，确保密码技术应用与业务深度融合。应用框架依据《‌GB/T39786信息安全技术信息系统密码应用基本要求》《‌GM/T0095电子招投标密码应用技术要求》‌《电子招标投标系统技术规范第1部分：交易平台技术规范》‌及‌《电子招标投标办法》‌，确定应用框架包括应用层、服务层、支撑层、接口层四层结构。业务流程密码应用要求依据《GB/T39786信息安全技术信息系统密码应用基本要求》‌《密码标准使用指南》‌《‌GM/T0095电子招投标密码应用技术要求》‌《中华人民共和国电子签名法》‌及‌《电子招标投标系统技术规范第1部分：交易平台技术规范》，确定业务流程密码应用主要应用在用户注册与身份认证、招标文件发布、投标文件递交、开标、评标与定标、数据归档等方面。《GB/T39786信息安全技术信息系统密码应用基本要求》‌《密码标准使用指南》‌《中华人民共和国电子签名法》‌《电子招标投标系统技术规范第1部分：交易平台技术规范》密码应用评估依据《GB/T39786信息安全技术信息系统密码应用基本要求》《‌GM/T0115信息系统密码应用测评要求》及《商用密码管理条例》‌等标准与法规，确定密码应用评估主要包原则与内容、评估实施和评估结果与报告。《GB/T39786信息安全技术信息系统密码应用基本要求》《‌GM/T0115信息系统密码应用测评要求》与国外、国内同类标准水平的比较经查，截止目前，与电子招投标平台商用密码应用有关的国家、行业标准有：《GB/T39786信息安全技术信息系统密码应用基本要求》作为基础性标准，规定了信息系统密码应用的通用要求，但未针对招投标业务特性提出细化条款。《GM/T0095电子招投标密码应用技术要求》是专门针对电子招投标场景的密码应用技术标准，填补了行业空白，但尚未形成完整体系。国际标准化组织（ISO）及美国国家标准与技术研究院（NIST）发布的密码应用标准主要聚焦通用信息系统安全，未针对电子招投标场景细化密码应用要求，并且国外标准多基于国际通用密码算法（如RSA、AES），与我国国密算法（SM2/SM3/SM4）体系不兼容，并不适用于国内。国内外尚无针