2023商用密码应用安全性评估报告模板.docx

1艮告编号：|_批注g者注1：各密评机构根据自己质量体系要求进行编号Iogo也自行更换，IOgo位置自行调整XXXXX系统腋测单位：密评机构：商用密码应用安全性评估报告/批注I才注2:若涉及被测冷位和委托单位不同的情/况，可自行增加委托单位（报告编报告时间:声明本报告是XXXXX系统的商用密码应用安全性评估报告，报告模板为2023年版。本报告评估结论的有效性建立在被测单位提供相关证据的真实性基础之上。本报告中给出的评估结论仅对被测信息系统当时的安全状态有效。被测信息系统发生变更后，应重新对其进行评估，本报告不再适用。本报告中给出的评估结论不能作为对被测信息系统内部署的相关系统构成组件（或产品）的评估结论。在任何情况下，若需引用本报告中的评估结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。（密评机构名称Q盍章）年月日被测信息系统基本信息表被测单位单位名称单位地址邮政编码所属省部密码管理部门联系人姓名职务/职称所属部门办公电话移动电话电子邮件被测信息系统系统名称是否为关键信息基础设施已认定，所属安全保护工作部门：未认定网络安全等级保护定级和备案情况已定级备案，第一级（一至四），S_A_G_备案证明编号：本次被测信息系统与等级保护定级系统是否一致：是口否，变化情况说明：未定级，本次密评依据GB/T397862021信息安全技术信息系统密码应用基本要求第一级（一至四）信息系统要求阿络安全等级测评情况L巳测评测评机构名称：测评时间：正在测评测评机构名称：未测评测评结论:系统服务情况服务范围全国口跨省（区、市）跨一个全省（区、市）口跨地（市、区）跨一个地（市、区）内其他一服务领域电信广电口经营性公众互联网铁路口银行口海关税务民航口电力口证券口保险口国防科技工业公安口财政口人事劳动和社会保障口审计商业贸易国土资源口能源口交通口统计工商行政管理邮政教育文化口卫生口农业水利口外交口发展改革科技口宣传口质量监督检验检疫口其他一服务对象单位内部人员社会公众人员两者均包括其他系统网络平台覆盖范围口局域网口城域网口广域网其他_网络性质业务专网互联网其他批注*者注3:测评时间为网络安全等级保护测评报告封面时间，如果存在多家机构测评的情况，仅填写最近次的测评机构、泅评时间、测评结论I系统服务用户数量I大概数量级/被测系统处于建设阶段系统是否已投入运行口是，投入运行时间：年月否，目前情况：系统互联情况口与其他行业系统连接口与本行业其他单位系统连接口与本单位其他系统连接口其他_互联系统名称：I系统是否依赖不在本系统范围内的云平台运包是，云平台名称：口云平台已评估云平台正在评估云平台未评估密评机构名称：评估时间：评估结论：否系统是否具有密码应用方案口有密码应用方案，且通过密评，通过时间：密评方式：自行评估委托密评机构评估，密评机构名称：有密码应用方案，但未通过密评无密码应用方案I系统使用的密码产品情况L口系统使用的密码产品（台/套），独立使用（台/套），共享使用（台/套）；其中，取得认证证书的产品数®:台/套，未取得认证证书的国内产品数短（台/套），国外产品数量（台/套）。口系统未使用密码产品系统使用的密码算法分组算法：SM1SM4SM7AESDES3DES其他非对称算法：SM2SM9RSAI024RSA2O48其他杂凑算法：SM3SHA-1SHA-256SHA-384SHA-512MD5其他序列算法：zuc其他一其他算法：舟评机构单位名称通信地址邮政编码联系人姓名取务/职称所属部门办公电话移动电话电子邮件审核批准编制人（签字）编制日期审核人（签字）审核日期批准人（签字）批准日期批注者注旬:若系统有注册功能,写注册用户数fit:若是门户网站，可写网站日均访问数量:等批注者注5:如果云平台正在评估，评估时间和评估结论可以为空批注者注6:比如同型号产品较多，且不在系统内部部署，可简略为1套密码产品，比如系统配套1万个智能密码的匙，数徽可为1（套）商用密码应用安全性评估结论系统名称系统简介测评情况倚介简要描述测评范围和主要内容。建议不超过2（X）字。）评估结论（符合/基本符合/不符合）综合得分不适用项数目/总测评指标项数目高风险项数目总体评价本次信息系统商用密码应用安全性评估依据GB/T397862021信息安全批注g者注7：在下述每个层面的测评结果中,如果 涉及不适用项给出不适用项的指标及其不适用的原 因描述技术信息系统密码应用基本要求的第X级别要求，选取的测评指标总数为XXX项，其中怀适用项为XXX项特殊指标XXX项。测评结果为：符合项.XXX项，部分符合项XXX项，不符合项XXX项。其中，在部分符合和不符合项中：高风险项XXX项，中风险项XXX项，低风险项XXX项。1 .在物理和环境安全方面，XXX测评结果：符合项XX项，部分符合项XX项，不符合项XX项，不适用项XX项。2 .在网络和通信安全方面，XXX测评结果：符合项XX项，部分符合项XX项，不符合项XX项，不适用项XX项。3 .在设备和计算安全方面，XXX测评结果：符合项XX项，部分符合项XX项，不符合项XX项，不适用项XX项。4 .在应用和数据安全方面，XXX测评结果：符合项XX项，部分符合项XX项，不符合项XX项，不适用项XX项。5 .在管理制度方面，XXX测评结果：符合项XX项，部分符合项XX项，不符合项XX项，不适用项XX项。6 .在人员管理方面，XXX测评结果：符合项XX项，部分符合项XX项，不符合项XX项，不适用项XX项。7 .在建设运行方面，XXX测评结果：符合项XX项，部分符合项XX项，不符合项XX项，不适用项XX项。8 .在应急处置方面，XXX测评结果：符合项XX项，部分符合项XX项，不符合项XX项，不适用项XX项。通过对XXXXX系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面的测评，该系统多令塞年的不符合GBT397862021信息安全技术信息系统密码应用基本要求的第X级别要求。安全问题及改进建议本次信息系统商用密码应用安全性评估依据GBZT39786-2021信息安全技术信息系统密码应用基本要求的第X级别要求，发现被测信息系统存在以下安全问题。建议被测信息系统根据实际情况和以下给出的建议进行整改。1 .物理和环境安全问题描述：改进建议：2 .网络和通信安全问题描述：改进建议：3 .设备和计算安全问题描述：改进建议：4 .应用和数据安全问题描述：改进建议：5 .管理制度问题描述：改进建议：6 .人员管理问题描述：改进建议：7 .建设运行问题描述：改进建议：8 .应急处置问题描述：改进建议：目录声明I被测信息系统基本信息表I商用密码应用安全性评估结论III总体评价IV安全问题及改进建设VIII测评项目雌1.1 测评目的1.2 测评依据1.2.1 依据标准和规范1.2.2 参考标准和规范1.2.3 术语和缩略语1.3 测评过程1.3.1 测评准备阶段21.3.2 方案编制阶段31.3.3 现场测评阶段31.3.4 分析与报告编制阶段31.4 报告分发范围42被测系统情况52.1 承载的业务情况52.2 网络拓扑图及描述52.3 密码应用情况52.3.1 物理和环境安全密码应用情况52.3.2 网络和通信安全密码应用情况52.3.3 设备和计算安全密码应用情况52.3.4 应用和数据安全密码应用情况52.4 系统资产52.4.1 物理环境52.4.2 物理安防设施62.4.3 密码产品62.4.4 服务器/存储设备62.4.5 网络及安全设备62.4.6 数据库管理系统72.4.7 关键业务应用72.4.8 重要数据72.4.9 安全管理文档82.4.10 人员82.5 密码服务82.6 安全威胁82.7 前次测评情况93测评范围与方法103.1 测评指标103.1.1 基本指标103.1.2 特殊指标133.1.3 不适用指标133.2 测评方法及工具133.2.1 现场测评方法133.2.2 测评工具143.2.3 测评工具检查点143.3 测评对象和对应测评方式143.3.1 测评对象确定方法143.3.2 测评对象确定结果154单元测评184.1 密码技术应用要求184.1.1 物理和环境安全184.1.2 网络和通信安全184.1.3 设备和计算安全194.1.4 应用和数据安全194.2 安全管理214.2.1 管理制度214.2.2 人员管理224.2.3 建设运行234.2.4 应急处置245整体测评255.1 测评结果修正255.2 整体测评结果和量化评估266风险分析287评估结论29附录A测评结果记录30A.1物理和环境安全30A.2网络和通信安全32A.3设备和计算安全34A.4应用和数据安全36A.5管理制度42A.6人员管理43A.7建设运行44A.8应急处置47附录B密评活动有效性证明记录488.1 密评委托证明488.2 密评活动证明498.3 密评活动质量文件528.4 密评人员资格证明568.5 系统定级匹配证明581测评项目概述1.1 测评目的（密评机构受被测单位、忸委于XX年XX月XX日至XX年XX月XX日，依据GB/T397862021信息安全技术信息系统密码应用基本要求的第X级别要求，对被恻嶂仍的XXXXX系统从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面进行商用密码应用安全性评估，通过测评项目的实施，根据被测信息系统当前的安全状况，给出测评结果并提出改进建议，以确保被测信息系统达到GB/T39786-2021信息安全技术信息系统密码应用基本要求的要求，也为其信息资产安全和业务持续稳定运行提供保障。1.2 测评依据1.2.1 依