6.4　組織安全策略

6.4.1　密碼管理（P.Crypto_Management）

密碼的使用應符合國家標準及行業或組織的信息技術安全標準或規范，并符合下列要求：

a) 私鑰由COS內部管理，使用COS文件訪問指令不得訪問到私鑰文件，禁止以任何形式讀取私鑰，私鑰在任何時刻都不得以任何形式出現在智能卡外部；

b) 簽名密鑰對生成必須由COS內部生成，COS內部不得保留用于生成密鑰對的素數。

6.4.2　標識數據管理（P.IdData_Management）

智能卡的生產、測試等過程應具備標識TOE的能力。

6.4.3　芯片硬件選型（P.Chip_Selection）

TOE采用的芯片應至少滿足GB/T 22186-2016中EAL4+級相關要求。