商用密码应用安全性评估报告模板【39页】.docx

g艮告编号：()|_批注者注11：各密评机构根据自己质量:体系要求进行编号log。也自行更换，log。位置自行调整XXXXX系统密码应用安全性评估报告批注者注2:爰托电位和被泅单位可以相同，也可/以不同委托单位:被测单位:密评机构:报告时间:声明本报告是XXXXX系统的密码应用安全性评估报告。本报告评估结论的有效性建立在被测单位提供相关证据的真实性基础之上。本报告中给出的评估结论仅对被测信息系统当时的安全状态有效。被测信息系统发生变更后，应重新对其进行评估，本报告不再适用。本报告中给出的评估结论不能作为对被测信息系统内部署的相关系统构成组件（或产品）的评估结论。在任何情况下，若需引用本报告中的评估结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。（密评机构名称（盖章）年月日被测信息系统基本信息表被测单位单位名称单位地址邮政编码所属省部密码管理部门联系人姓名职务/职称所属部门办公电话移动电话电子邮件被测信息系统系统名称网络安全等级保护定级情况已定级，第一级（一至四），S_A_G_0未定级，本次密评依据gb/taaaaa-bbbb信息安全技术信息系统密码应用基本要求第一级（一至四）信息系统要求网络安全等级保护定级备案情况已备案备案证明编号：口未备案本次被测信息系统与等级保护定级系统是否一致口是口否，变化情况说明：一网络安全等级保护测评情况已测评测评机构名称：I测评时间|：测评结论：正在测评测评机构名称：口未测评系统服务情况服务范围全国口跨省（区、市）跨个全省（区、市）口跨地（市、区）跨个地（市、区）内其他服务领域电信广电口经营性公众互联网铁路口银行口海关口税务民航口电力证券口保险口国防科技工业口公安财政人事劳动和社会保障审计商业贸易口国土济源口能源交通口统计口工商行政管理邮政教育文化口卫生农业口水利外交发展改革科技口宣传口质量监督检验检疫其他服务对象口单位内部人员社会公众人员口两者均包括其他系统网络平台覆盖范围局域网口城域网口广域网其他网络性质业务专网互联网其他批注编者注3:测评时间为网络安全等线保护测评报告封面时间I系统服务用户数量I大概数量级/被测系统处于建设阶段系统是否已投入运行口是，投入运行时间：年月否系统互联情况口与其他行业系统连接口与本行业其他单位系统连接口与本单位其他系统连接其他系统是否具有密码应用方案有密码应用方案，且通过评审，评审通过时间：评审方式：专家评审密评机构评审，密评机杓名称：口有密码应用方案，但未通过评审口无密叫应用方案系统使用的密码产品情况口系统使用的密码产品（台/套），独立使用（台/套），共享使用（台/套）；其中，取得认证证书的产品数量台/套，未取得认证证书的国内产品数量1.台/套），国外产品数量1.台/套口系统未使用密码产品系统使用的密码算法分组算法：SM1SM4SM7QAESDDES3DES其他_非对称算法：SM2SM9RSA1024RSA2O48其他杂凑算法：SM3SHA-1SHA-256SHA-384SHA-512MD5其他序列算法：zuc其他其他算法：密评机构单位名称通信地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件审核批准编制人（签字）编制日期审核人（签字）审核日期批准人（签字）批准日期批注者注4:若系统有注册功能,写注册用户数量：若是门户网站，可写网站日均访问数量等.密码应用安全性评估结论系统名称系统债介测评情况简介（简要描述测评范围和主要内容。建议不超过200字。）评估结论符合I基本符合I不符合综合得分总体评价本次信息系统密码应用安全性评估依据GB/TAAAAA-BBBB信息安全技术信息系统密码应用基本要求的第X级别要求，选取的测评指标总数为XXX项，其中不适用项为XXX项，特殊指标XXX项。测评结果为：符合项XXX项，部分符合项XXX项，不符合项XXX项。1 .在物理和环境安全方面，XXX2 .在网络和通信安全方面，XXX3 .在设备和计算安全方面，XXX4 .在应用和数据安全方而，XXX5 .在管理制度方面，XXX6 .在人员管理方面，XXX7 .在建设运行方而，XXX8 .在应急处置方面，XXX通过对XXXXX系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面的测评，该系统舟诊室奉为冷不符合GBbAAAAA-BBBB信息安全技术信息系统密码应用基本要求的第X级别要求。安全问题及改进建议本次信息系统密码应用安全性评估依据GB/TAAAAA-BBBB信息安全技术信息系统密码应用基本要求的第X级别要求，发现被测信息系统存在以下安全问题。建议被测信息系统根据实际情况和以下给出的建议进行整改。1 .物理和环境安全问题描述：改进建议，2 .网络和通信安全问题描述：改进建议：3 .设备和计算安全问题描述：改进建议：4 .应用和数据安全问题描述：改进建议：5 .管理制度问题描述：改进建议：6 .人员管理问题描述：改进建议，7 .建设运行问题描述：改进建议：8 .应急处置问题描述：改进建议：目录声明I被测信息系统基本信息表11密码应用安全性评估结论V总体评价VII安全问题及改进建议IX1测评项目雌11.1 测评目的11.2 测评依据11.2.1 依据标准和规范11.2.2 参考标准和规范I1.2.3 术语和缩略语113测评过程11.3.1 测评准备阶段21.3.2 方案编制阶段31.3.3 现场测评阶段31.3.4 分析与报告编制阶段31.4报告分发范围42被漏系统情况52.1 承载的业务情况52.2 网络拓扑图及描述52.3 密码应用情况52.3.1 物理和环境安全密码应用情况52.3.2 网络和通信安全密码应用情况52.3.3 设备和计算安全密码应用情况52.3.4 应用和数据安全密码应用情况52.4 系统资产52.4.1 物理环境52.4.2 物理安防设施62.4.3 密码产品62.4.4 服务器/存储设备62.4.5 网络及安全设备62.4.6 数据库管理系统72.4.7 关键业务应用72.4.8 关键数据72.4.9 安全管理文档82.4.10 人员82.5 密码服务82.6 安全威胁82.7 前次测评情况93测评范围与方法103.1 测评指标103.1.1 基本指标103.1.2 特殊指标133.1.3 不适用指标133.2 测评方法及工具133.2.1 现场测评方法133.2.2 测评工具143.2.3 测评工具检查点143.3 测评对象和对应测评方式143.3.1 测评对象确定方法143.3.2 测评对象确定结果144单元测评184.1 密码技术应用要求184.1.1 物理和环境安全184.1.2 网络和通信安全184.1.3 设备和计算安全194.1.4 应用和数据安全194.2 安全管理204.2.1 管理制度214.2.2 人员管理214.2.3 建设运行224.2.4 应急处置235整体测评245.1 单元测评结果修正245.2 整体测评结果和量化评估246风险分析277评估结论28附录A刑评结果记录29A.I.物理和环境安全29A.2.网络和通信安全31A.3.设备和计算安全32A.4.应用和数据安全33A.5.管理制度34A.6.人员管理35A.7.建设运行36A.8.应急处置381测评项目概述1.1 测评目的密评机构受委托单位、的委凭,于XX年XX月XX日至XX年XX月XXFb依据gb/taaaaa-bbbb信息安全技术信息系统密码应用基本要求的第X级别要求，对被恻便位的XXXXX系统从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面进行密码应用安全性评估，通过测评项目的实施，根据被测信息系统当前的安全状况，给出测评结果并提出改进建议，以确保被测信息系统达到GB/TAAAAA-BBBB信息安全技术信息系统密码应用基本要求的要求，也为其信息资产安全和业务持续稳定运行提供保障。1.2 测评依据1.2.1 依据标准和规范 GB/TAAAAA-BBBB信息安全技术信息系统密码应用基本要求 信息系统密码应用测评要求 信息系统密码应用测评过程指南 信息系统密码应用高风险判定指引 商用密码应用安全性评估量化评估规则 XXXXX系统密码应用方案（如有）1.2.2 弁考标准和规范被测信息系统专用的标准（如CA系统所要参考的GM/T0034等标准，金融IC卡信息系统所要参考的PBOC等标准）1.2.3怵语和缩略语批注*者注5:如有,在该节中明确1.3 测评过程密码应用安全性评估过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评双方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。测评工作流程如图所示。项日启动信息收集和分析1.具和表单准备测评指标确定测评对象确定整体测评测评准符活动1.YJ现场测评活动A方案编制活动4沟通与洽谈分析与报告端制活动批注者注6:这里仅写了通用内容，需要根据实际测评情况改写。图1”测评工作流程1.3.1 恻评准备阶段根据测评双方签订的委托测评协议书和被测信息系统规模，密评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。密评机构通过查阅被测系统已有资料并使用调查表格的方式，了解整个系统的构成和密码保护情况，为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前,熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。测评准备阶段时间：XX年XX月XX日-XX年XX月XX日。测评项目组成员如表1，所示：表11测评项目组成员角色姓名任务分工项目负责人测评项目组成员1.3.2 方案编制阶段