2023商用密码应用安全性评估报告模板.docx
《2023商用密码应用安全性评估报告模板.docx》由会员分享,可在线阅读,更多相关《2023商用密码应用安全性评估报告模板.docx(79页珍藏版)》请在课桌文档上搜索。
1、1艮告编号:|_批注g者注1:各密评机构根据自己质量体系要求进行编号Iogo也自行更换,IOgo位置自行调整XXXXX系统腋测单位:密评机构:商用密码应用安全性评估报告/批注I才注2:若涉及被测冷位和委托单位不同的情/况,可自行增加委托单位(报告编报告时间:声明本报告是XXXXX系统的商用密码应用安全性评估报告,报告模板为2023年版。本报告评估结论的有效性建立在被测单位提供相关证据的真实性基础之上。本报告中给出的评估结论仅对被测信息系统当时的安全状态有效。被测信息系统发生变更后,应重新对其进行评估,本报告不再适用。本报告中给出的评估结论不能作为对被测信息系统内部署的相关系统构成组件(或产品)
2、的评估结论。在任何情况下,若需引用本报告中的评估结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。(密评机构名称Q盍章)年月日被测信息系统基本信息表被测单位单位名称单位地址邮政编码所属省部密码管理部门联系人姓名职务/职称所属部门办公电话移动电话电子邮件被测信息系统系统名称是否为关键信息基础设施已认定,所属安全保护工作部门:未认定网络安全等级保护定级和备案情况已定级备案,第一级(一至四),S_A_G_备案证明编号:本次被测信息系统与等级保护定级系统是否一致:是口否,变化情况说明:未定级,本次密评依据GB/T397862021信息安全技术信息系统密码应用基本要求第一
3、级(一至四)信息系统要求阿络安全等级测评情况L巳测评测评机构名称:测评时间:正在测评测评机构名称:未测评测评结论:系统服务情况服务范围全国口跨省(区、市)跨一个全省(区、市)口跨地(市、区)跨一个地(市、区)内其他一服务领域电信广电口经营性公众互联网铁路口银行口海关税务民航口电力口证券口保险口国防科技工业公安口财政口人事劳动和社会保障口审计商业贸易国土资源口能源口交通口统计工商行政管理邮政教育文化口卫生口农业水利口外交口发展改革科技口宣传口质量监督检验检疫口其他一服务对象单位内部人员社会公众人员两者均包括其他系统网络平台覆盖范围口局域网口城域网口广域网其他_网络性质业务专网互联网其他批注*者注
4、3:测评时间为网络安全等级保护测评报告封面时间,如果存在多家机构测评的情况,仅填写最近次的测评机构、泅评时间、测评结论I系统服务用户数量I大概数量级/被测系统处于建设阶段系统是否已投入运行口是,投入运行时间:年月否,目前情况:系统互联情况口与其他行业系统连接口与本行业其他单位系统连接口与本单位其他系统连接口其他_互联系统名称:I系统是否依赖不在本系统范围内的云平台运包是,云平台名称:口云平台已评估云平台正在评估云平台未评估密评机构名称:评估时间:评估结论:否系统是否具有密码应用方案口有密码应用方案,且通过密评,通过时间:密评方式:自行评估委托密评机构评估,密评机构名称:有密码应用方案,但未通过
5、密评无密码应用方案I系统使用的密码产品情况L口系统使用的密码产品(台/套),独立使用(台/套),共享使用(台/套);其中,取得认证证书的产品数:台/套,未取得认证证书的国内产品数短(台/套),国外产品数量(台/套)。口系统未使用密码产品系统使用的密码算法分组算法:SM1SM4SM7AESDES3DES其他非对称算法:SM2SM9RSAI024RSA2O48其他杂凑算法:SM3SHA-1SHA-256SHA-384SHA-512MD5其他序列算法:zuc其他一其他算法:舟评机构单位名称通信地址邮政编码联系人姓名取务/职称所属部门办公电话移动电话电子邮件审核批准编制人(签字)编制日期审核人(签字)
6、审核日期批准人(签字)批准日期批注者注旬:若系统有注册功能,写注册用户数fit:若是门户网站,可写网站日均访问数量:等批注者注5:如果云平台正在评估,评估时间和评估结论可以为空批注者注6:比如同型号产品较多,且不在系统内部部署,可简略为1套密码产品,比如系统配套1万个智能密码的匙,数徽可为1(套)商用密码应用安全性评估结论系统名称系统简介测评情况倚介简要描述测评范围和主要内容。建议不超过2(X)字。)评估结论(符合/基本符合/不符合)综合得分不适用项数目/总测评指标项数目高风险项数目总体评价本次信息系统商用密码应用安全性评估依据GB/T397862021信息安全批注g者注7:在下述每个层面的测
7、评结果中,如果 涉及不适用项给出不适用项的指标及其不适用的原 因描述技术信息系统密码应用基本要求的第X级别要求,选取的测评指标总数为XXX项,其中怀适用项为XXX项特殊指标XXX项。测评结果为:符合项.XXX项,部分符合项XXX项,不符合项XXX项。其中,在部分符合和不符合项中:高风险项XXX项,中风险项XXX项,低风险项XXX项。1 .在物理和环境安全方面,XXX测评结果:符合项XX项,部分符合项XX项,不符合项XX项,不适用项XX项。2 .在网络和通信安全方面,XXX测评结果:符合项XX项,部分符合项XX项,不符合项XX项,不适用项XX项。3 .在设备和计算安全方面,XXX测评结果:符合项
8、XX项,部分符合项XX项,不符合项XX项,不适用项XX项。4 .在应用和数据安全方面,XXX测评结果:符合项XX项,部分符合项XX项,不符合项XX项,不适用项XX项。5 .在管理制度方面,XXX测评结果:符合项XX项,部分符合项XX项,不符合项XX项,不适用项XX项。6 .在人员管理方面,XXX测评结果:符合项XX项,部分符合项XX项,不符合项XX项,不适用项XX项。7 .在建设运行方面,XXX测评结果:符合项XX项,部分符合项XX项,不符合项XX项,不适用项XX项。8 .在应急处置方面,XXX测评结果:符合项XX项,部分符合项XX项,不符合项XX项,不适用项XX项。通过对XXXXX系统的物理
9、和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面的测评,该系统多令塞年的不符合GBT397862021信息安全技术信息系统密码应用基本要求的第X级别要求。安全问题及改进建议本次信息系统商用密码应用安全性评估依据GBZT39786-2021信息安全技术信息系统密码应用基本要求的第X级别要求,发现被测信息系统存在以下安全问题。建议被测信息系统根据实际情况和以下给出的建议进行整改。1 .物理和环境安全问题描述:改进建议:2 .网络和通信安全问题描述:改进建议:3 .设备和计算安全问题描述:改进建议:4 .应用和数据安全问题描述:改进建议:5 .
10、管理制度问题描述:改进建议:6 .人员管理问题描述:改进建议:7 .建设运行问题描述:改进建议:8 .应急处置问题描述:改进建议:目录声明I被测信息系统基本信息表I商用密码应用安全性评估结论III总体评价IV安全问题及改进建设VIII测评项目雌1.1 测评目的1.2 测评依据1.2.1 依据标准和规范1.2.2 参考标准和规范1.2.3 术语和缩略语1.3 测评过程1.3.1 测评准备阶段21.3.2 方案编制阶段31.3.3 现场测评阶段31.3.4 分析与报告编制阶段31.4 报告分发范围42被测系统情况52.1 承载的业务情况52.2 网络拓扑图及描述52.3 密码应用情况52.3.1
11、物理和环境安全密码应用情况52.3.2 网络和通信安全密码应用情况52.3.3 设备和计算安全密码应用情况52.3.4 应用和数据安全密码应用情况52.4 系统资产52.4.1 物理环境52.4.2 物理安防设施62.4.3 密码产品62.4.4 服务器/存储设备62.4.5 网络及安全设备62.4.6 数据库管理系统72.4.7 关键业务应用72.4.8 重要数据72.4.9 安全管理文档82.4.10 人员82.5 密码服务82.6 安全威胁82.7 前次测评情况93测评范围与方法103.1 测评指标103.1.1 基本指标103.1.2 特殊指标133.1.3 不适用指标133.2 测评
12、方法及工具133.2.1 现场测评方法133.2.2 测评工具143.2.3 测评工具检查点143.3 测评对象和对应测评方式143.3.1 测评对象确定方法143.3.2 测评对象确定结果154单元测评184.1 密码技术应用要求184.1.1 物理和环境安全184.1.2 网络和通信安全184.1.3 设备和计算安全194.1.4 应用和数据安全194.2 安全管理214.2.1 管理制度214.2.2 人员管理224.2.3 建设运行234.2.4 应急处置245整体测评255.1 测评结果修正255.2 整体测评结果和量化评估266风险分析287评估结论29附录A测评结果记录30A.1
13、物理和环境安全30A.2网络和通信安全32A.3设备和计算安全34A.4应用和数据安全36A.5管理制度42A.6人员管理43A.7建设运行44A.8应急处置47附录B密评活动有效性证明记录488.1 密评委托证明488.2 密评活动证明498.3 密评活动质量文件528.4 密评人员资格证明568.5 系统定级匹配证明581测评项目概述1.1 测评目的(密评机构受被测单位、忸委于XX年XX月XX日至XX年XX月XX日,依据GB/T397862021信息安全技术信息系统密码应用基本要求的第X级别要求,对被恻嶂仍的XXXXX系统从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管
14、理制度、人员管理、建设运行和应急处置等方面进行商用密码应用安全性评估,通过测评项目的实施,根据被测信息系统当前的安全状况,给出测评结果并提出改进建议,以确保被测信息系统达到GB/T39786-2021信息安全技术信息系统密码应用基本要求的要求,也为其信息资产安全和业务持续稳定运行提供保障。1.2 测评依据1.2.1 依据标准和规范 GB/T397862021信息安全技术信息系统密码应用基本要求 GM/T01152021信息系统密码应用测评要求 GM/T0116-2021信息系统密码应用测评过程指南 信息系统密码应用高风险判定指引 商用密码应用安全性评估量化评估规则 XXXXX系统密码应用方案(
15、如有)1.2.2 参考标准和规范被测信息系统专用的标准(如CA系统所要参考的GM/T0034等标准,金融IC卡信息系统所要参考的PBOC等标准)1.2.3 怵语和缩略语/批注H者注时如有,在该节中明确1.3 测评过程商用密码应用安全性评估过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评双方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。测评工作流程如图1-1所示。沟通与洽谈方案编制活动整体测评测评准备活动现场测评活动分析与报告编制活 动图1-1测评工作流程批注I-者注9:这里仅写了通用内容,需要根据实际测评情况改写1.3.1 恻评准备阶剧/根据测评双
16、方签订的委托测评协议书和被测信息系统规模,密评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。密评机构通过查阅被测系统已有资料并使用调查表格的方式,了解整个系统的构成和密码保护情况,为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前,熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。测评准备阶段时间:XX年XX月XXFI-XX年XX月XX日。测评项目组成员如表1-1所示:*1-1测评项目组成员角色姓名任务分工是否通过密评人员考核项目负贡人测评项目组成员1.3.2方案编制阶段根据已经了解到的被测信息系统情况,分析整个被测系统及其涉及的业务应用系统,
17、以及与此相关的密码应用情况,确定出本次测评的测评对象;根据已经了解到的被测系统定级结果,确定出本次测评的测评指标:确认测评过程中需要现场检查的关键安全点,并且充分考虑到检查的可行性和风险,最大限度的避免对被测系统,尤其是在线运行业务系统的影响:确定现场测评的具体实施内容:最终完成测评方案的编制。方案编制阶段时间:XX年XX月XX日-XX年XX月XX日。1.3.3 现场测评阶段现场测评准备:召开测评现场首次会,密评机构介绍测评工作,交流测评信息、,进一步明确测评计划和测评方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排,测评过程中可能存在的安全风险等,以便于后面的测评工作开展。测评双
18、方确认现场测评需要的各种资源,包括被测单位的配合人员和需要提供的测评条件等,确认被测信息系统已备份过系统及数据。被测单位签署现场测评授权书。密评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。测评项目组根据密评方案以及现场测评准备的结果,安排密评人员在现场完成测评工作,汇总现场测评的测评记录:召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认;密评机构归还测评过程中借阅的所有文档资料,并由被测单位文档资料提供者签字确认。现场测评阶段时间:XX年XX月XX日-XX年XX月XX日。1.3.4 分析与报告编制阶段在现场测评工作结束后,密评机构对现场测评获得的测评结果进行
19、汇总分析,形成评估结论,并编制评估报告。密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后,还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后,有的测评对象的测评结果可能会有所变化,需进一步修订测评结果,而后进行量化评估和风险第3页/共58页分析,最后形成评估结论。分析与报告编制阶段时间:XX年XX月XXFl-XX年XX月XX日。1.4 报告分发范围本报告一式X份,其中X份提交密码管理部门,X份提交委托单位,X份由密评机构留存。2被测系统情况2.1 承载的业务情况(主要介绍信息系统承载的业务情况,重点说明业务的密码应用需求,具体的写法可以参考商用密码应用与安全性评估第五章、
20、2.2 网络拓扑图及描述(主要介绍信息系统的完整网络拓扑,方便了解信息系统边界、资产等基本情况,具体的写法可以参考商用密码应用与安全性评估第五窘)2.3 密码应用情况2.3.1 物理和环境安全密码应用情况(介绍物理和环境安全层面密码应用的大致情况。考虑到该层面的密码应用流程和密钥管理主要由密码产品完成,且与信息系统承载的业务关联性较低,因此可以主要闱绕所使用的密码产品展开介绍2.3.2 网络和通信安全密码应用情况(介绍网络和通信安全层面密码应用的大致情况。考虑到该层面的密码应用流程和密钥管理主要由VPN等密码产品完成,因此可以主要围绕所使用的密码产品展开介绍2.3.3 设备和计算安全密码应用情
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 商用 密码 应用 安全性 评估 报告 模板
链接地址:https://www.desk33.com/p-1202577.html