商用密碼應(yīng)安全性評估報(bào)告模板2021版

商用密碼應(yīng)用安全性評估報(bào)告模板(2021版)說明文件包括兩個(gè)模板，分別為：《XX系統(tǒng)密碼應(yīng)用方案》商用密碼應(yīng)用安全性評估報(bào)告模板XX系統(tǒng)商用密碼應(yīng)用安全性評估報(bào)告模板告密評機(jī)構(gòu)：聲明性建立在委托單位提供相關(guān)材料的真實(shí)結(jié)論僅對本次評估的《XXX系統(tǒng)密碼應(yīng)用論不能作為實(shí)際建設(shè)或運(yùn)行系統(tǒng)的評估結(jié)論，也不能作為系統(tǒng)構(gòu)成組件(或產(chǎn)品)的評估結(jié)論。，均屬無效。}(蓋章)年月日XXX系統(tǒng)密碼應(yīng)用方案》商用密碼應(yīng)用安全性評估報(bào)告基本信息表 統(tǒng)□已定級，第級(一至四)，SAG。應(yīng)用基本要求》第級(一至四)信息系統(tǒng)要求 息系統(tǒng)與等致 估 (簽字)(簽字)(簽字){報(bào)告編號}商用密碼應(yīng)用安全性評估結(jié)論估情況簡介結(jié)論{通過/不通過}指標(biāo)數(shù)目/XXX系統(tǒng)密碼應(yīng)用方案》商用密碼應(yīng)用安全性評估報(bào)告改進(jìn)建議材料為XXX。}{報(bào)告編號} 1系統(tǒng)概述 12安全控制措施描述及指標(biāo)適用情況 43安全控制措施評估結(jié)果 94方案評估結(jié)論 12附：《XXXX系統(tǒng)密碼應(yīng)用方案》 131系統(tǒng)概述圖1系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D全層面保護(hù)對象(匯總到表1中)。}表1系統(tǒng)各安全層面保護(hù)對象匯總1安全{物理機(jī)房1}2{物理機(jī)房2}34{物理機(jī)房n}5{通信信道1}6{通信信道2}7{報(bào)告編號}8{通信信道n}9應(yīng)用服務(wù)器}{堡壘機(jī)}安全{應(yīng)用1}{應(yīng)用2}{應(yīng)用n}檔、系統(tǒng)相關(guān)人員)}檔、系統(tǒng)相關(guān)人員)}表2應(yīng)用和數(shù)據(jù)安全層面保護(hù)對象稱象 {應(yīng)用用戶1}{應(yīng)用用戶2}{應(yīng)用用戶n}{重要數(shù)據(jù)1}{重要數(shù)據(jù)2}{重要數(shù)據(jù)n}{操作行為1}{操作行為2}{操作行為n} {應(yīng)用2}{XX應(yīng)用用戶}{XX重要數(shù)據(jù)}{XX操作行為} {XX應(yīng)用用戶}{XX重要數(shù)據(jù)}{報(bào)告編號}{XX操作行為} {應(yīng)用n}{XX應(yīng)用用戶}{XX重要數(shù)據(jù)}{XX操作行為}2安全控制措施描述及指標(biāo)適用情況圖2系統(tǒng)密碼應(yīng)用部署圖面，XXX。面，XXX。面，XXX。面，XXX。其中確定的不適用指標(biāo){XX}項(xiàng)，具體見表3。{特殊指標(biāo){XX}項(xiàng)(見表4)}。{以表3指標(biāo)適用情況及論證說明求 和環(huán)境安 全；宜XX象不適的存儲完整性；宜宜 和通信安 全 應(yīng)b用密碼技術(shù)保證通信過程宜8.2c)應(yīng)采用密碼技術(shù)保證通信過程應(yīng)d用密碼技術(shù)保證網(wǎng)絡(luò)邊界宜8.2e)可采用密碼技術(shù)對從外部連接可身份真實(shí)性。 全 8.3a)應(yīng)采用密碼技術(shù)對登錄設(shè)備的應(yīng)b管理設(shè)備時(shí)，應(yīng)采用密碼應(yīng)8.3c)宜采用密碼技術(shù)保證系統(tǒng)資源宜d用密碼技術(shù)保證設(shè)備中的資源安全標(biāo)記的完整性；宜8.3e)宜采用密碼技術(shù)保證日志記錄宜8.3f)宜采用密碼技術(shù)對重要可執(zhí)行宜 和數(shù)全 8.4a)應(yīng)采用密碼技術(shù)對登錄用戶進(jìn)應(yīng)b用密碼技術(shù)保證信息系統(tǒng)宜8.4c)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要信息資源安全標(biāo)記的完宜d用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過程中的機(jī)應(yīng)8.4e)應(yīng)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲過程中的機(jī)應(yīng)8.4f)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過程中的完宜g用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲過程中的完宜h能涉及法律責(zé)任認(rèn)定的應(yīng)宜行為的不可否認(rèn)性和數(shù)據(jù)接收行為管理8.5a)應(yīng)具備密碼應(yīng)用安全管理制等制度；應(yīng)應(yīng)應(yīng)度和操作規(guī)程的合理性和適用性進(jìn)進(jìn)行修訂；應(yīng)制度和操作規(guī)程的發(fā)布流程并進(jìn)行應(yīng)f密碼應(yīng)用操作規(guī)程的相應(yīng)關(guān)法律法規(guī)、密碼應(yīng)用安全管理制應(yīng)8.6b)應(yīng)建立密碼應(yīng)用崗位責(zé)任制全崗位；2)對關(guān)鍵崗位建立多人共管機(jī)制；員等關(guān)鍵安全崗位兼任；4)相關(guān)設(shè)備與系統(tǒng)的管理和使用賬應(yīng)c應(yīng)建立上崗人員培訓(xùn)制度，對于涉及密碼的操作和管理的人員進(jìn)應(yīng)d期對密碼應(yīng)用安全崗位人應(yīng)8.6e)應(yīng)建立關(guān)鍵人員保密制度和調(diào)應(yīng) 建設(shè) 運(yùn)行應(yīng)期環(huán)節(jié)，各環(huán)節(jié)安全管理要求參照《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用應(yīng)c照應(yīng)用方案實(shí)施建設(shè)；應(yīng)應(yīng)開展密碼應(yīng)用安全性評估及攻防對應(yīng) 應(yīng)急 件發(fā)生時(shí)，應(yīng)立即啟動(dòng)應(yīng)急處置措應(yīng)應(yīng)息系統(tǒng)主管部門及歸屬的密碼管理應(yīng)41項(xiàng){XX項(xiàng)}表4特殊指標(biāo)及解釋說明要求說明1網(wǎng)絡(luò)和通信安全對通信實(shí)體進(jìn)行雙向面對通信實(shí)性。2殊指標(biāo)合計(jì){XX項(xiàng)}3安全控制措施評估結(jié)果針對密碼應(yīng)用方案中各個(gè)安全層面保護(hù)對象所采取的安全控制措施(包含密表5所示。若指標(biāo)涉及的所有保護(hù)對象的相應(yīng)安全控制措施有效(不存在高風(fēng)險(xiǎn))，且表5安全控制措施評估結(jié)果結(jié)果原因說明 整性記錄數(shù)整性 整性重要性結(jié)果原因說明設(shè)備和計(jì)安全道安全安性序源真 制信息完安性機(jī)機(jī)完結(jié)果原因說明完 記 規(guī)和結(jié)果原因說明 方案管性 4方案評估結(jié)論 聲明X立在被測單位提供相關(guān)證據(jù)的真實(shí)性。本報(bào)告中給出的評估結(jié)論僅對被測信息系統(tǒng)當(dāng)時(shí)的安全狀態(tài)有效。論不能作為對被測信息系統(tǒng)內(nèi)部署的相關(guān)系統(tǒng)構(gòu)成組件(或產(chǎn)品)的評估結(jié)論。用密碼應(yīng)用安全性評估報(bào)告被測信息系統(tǒng)基本信息表位所屬省部密碼 網(wǎng)絡(luò)安全等級應(yīng)用基本要求》第級(一至四)信息系統(tǒng)要求網(wǎng)絡(luò)安全等級保護(hù)定級備案□已備案□未備案致□是網(wǎng)絡(luò)安全等級□已測評□正在測評□未測評□全國□跨省(區(qū)、市)跨個(gè)□全省(區(qū)、市)□地(市、區(qū))內(nèi)□跨地(市、區(qū))跨個(gè)□其他□電信□廣電□經(jīng)營性公眾互聯(lián)網(wǎng)□鐵路□銀行□海關(guān)□稅務(wù)□民航□電力□證券□保險(xiǎn)□國防科技工業(yè)□公安□財(cái)政□人事勞動(dòng)和社會保障□審計(jì)□商業(yè)貿(mào)易□國土資源□能源□交通□統(tǒng)計(jì)□工商行政管理□郵政□教育□文化□衛(wèi)生□農(nóng)業(yè)□水利□外交□發(fā)展改革□科技□宣傳□質(zhì)量監(jiān)督檢驗(yàn)檢疫□其他□單位內(nèi)部人員□社會公眾人員□兩者均包括□其他{報(bào)告編號} 系統(tǒng)網(wǎng)絡(luò)平臺□局域網(wǎng)□城域網(wǎng)□廣域網(wǎng)□其他□業(yè)務(wù)專網(wǎng)□互聯(lián)網(wǎng)□其他系統(tǒng)服務(wù)用戶系統(tǒng)是否已投□與其他行業(yè)系統(tǒng)連接□與本行業(yè)其他單位系統(tǒng)連接□與本單位其他系統(tǒng)連接□其他系統(tǒng)是否具有 評審方式：□專家評審□密評機(jī)構(gòu)評審，密評機(jī)構(gòu)名稱：□無密碼應(yīng)用方案系統(tǒng)使用的密□系統(tǒng)使用的密碼產(chǎn)品(臺／套)，獨(dú)立使用(臺／套)，共享使用(臺／套)； (臺／套)，國外產(chǎn)品數(shù)量(臺／套)?！跸到y(tǒng)未使用密碼產(chǎn)品系統(tǒng)使用的密分組算法：□SM1□SM4□SM7□AES□DES□3DES□其他非對稱算法：□SM2□SM9□RSA1024□RSA2048□其他雜湊算法：□SM3□SHA-1□SHA-256□SHA-384□SHA-512□MD5□其他序列算法：□ZUC□其他 (簽字) (簽字) (簽字)用密碼應(yīng)用安全性評估報(bào)告商用密碼應(yīng)用安全性評估結(jié)論情況簡介結(jié)論合}數(shù)目/{報(bào)告編號}總體評價(jià)用密碼應(yīng)用安全性評估報(bào)告安全問題及改進(jìn)建議以下給出的建議進(jìn)行整改。網(wǎng)絡(luò)和通信安全計(jì)算安全應(yīng)用和數(shù)據(jù)安全理設(shè)運(yùn)行{報(bào)告編號}用密碼應(yīng)用安全性評估報(bào)告 結(jié)論 III 及改進(jìn)建議 V 1.2.1依據(jù)標(biāo)準(zhǔn)和規(guī)范 11.2.2參考標(biāo)準(zhǔn)和規(guī)范 11.2.3術(shù)語和縮略語 1 1.3.1測評準(zhǔn)備階段 21.3.2方案編制階段 31.3.3現(xiàn)場測評階段 31.3.4分析與報(bào)告編制階段 3 2被測系統(tǒng)情況 5 2.3.1物理和環(huán)境安全密碼應(yīng)用情況 52.3.2網(wǎng)絡(luò)和通信安全密碼應(yīng)用情況 52.3.3設(shè)備和計(jì)算安全密碼應(yīng)用情況 52.3.4應(yīng)用和數(shù)據(jù)安全密碼應(yīng)用情況 5 2.4.1物理環(huán)境 5{報(bào)告編號}2.4.2物理安防設(shè)施 62.4.3密碼產(chǎn)品 6.4服務(wù)器/存儲設(shè)備 62.4.5網(wǎng)絡(luò)及安全設(shè)備 62.4.6數(shù)據(jù)庫管理系統(tǒng) 72.4.7關(guān)鍵業(yè)務(wù)應(yīng)用 72.4.8重要數(shù)據(jù) 72.4.9安全管理文檔 82.4.10人員 8 測評范圍與方法 11 3.1.1基本指標(biāo) 113.1.2特殊指標(biāo) 143.1.3不適用指標(biāo) 14 3.2.1現(xiàn)場測評方法 143.2.2測評工具 153.2.3測評工具檢查點(diǎn) 15 3.3.1測評對象確定方法 153.3.2測評對象確定結(jié)果 154單元測評 19 4.1.1物理和環(huán)境安全 194.1.2網(wǎng)絡(luò)和通信安全 19用密碼應(yīng)用安全性評估報(bào)告4.1.3設(shè)備和計(jì)算安全 204.1.4應(yīng)用和數(shù)據(jù)安全 204.2安全管理 224.2.1管理制度 224.2.2人員管理 234.2.3建設(shè)運(yùn)行 244.2.4應(yīng)急處置 25整體測評 265.1測評結(jié)果修正 265.2整體測評結(jié)果和量化評估 26風(fēng)險(xiǎn)分析 29評估結(jié)論 30 A.1.物理和環(huán)境安全 31A信安全 33A.3.設(shè)備和計(jì)算安全 35A.4.應(yīng)用和數(shù)據(jù)安全 37A.5.管理制度 43A.6.人員管理 44A.7.建設(shè)運(yùn)行 45A.8.應(yīng)急處置 48用密碼應(yīng)用安全性評估報(bào)告1測評項(xiàng)目概述1.1測評目的其信息資產(chǎn)安全和業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行提供保障。1.2測評依據(jù)1.2.1依據(jù)標(biāo)準(zhǔn)和規(guī)范《XXXXX系統(tǒng)密碼應(yīng)用方案》(如有)1.2.2參考標(biāo)準(zhǔn)和規(guī)范1.2.3術(shù)語和縮略語1.3測評過程穿整個(gè)密碼應(yīng)用安全性評估過程。測評工作流程如圖1-1所示。{報(bào)告編號}測評準(zhǔn)備活動(dòng)現(xiàn)場測評活動(dòng)方案編制活動(dòng)分析與報(bào)告編制活動(dòng)溝通與洽談測評準(zhǔn)備活動(dòng)現(xiàn)場測評活動(dòng)方案編制活動(dòng)分析與報(bào)告編制活動(dòng)溝通與洽談 1.3.1測評準(zhǔn)備階段用密碼應(yīng)用安全性評估報(bào)告測評項(xiàng)目組成員如表1-1所示：分工 測評項(xiàng)目組成員1.3.2方案編制階段1.3.3現(xiàn)場測評階段1.3.4分析與報(bào)告編制階段{報(bào)告編號}1.4報(bào)告分發(fā)范圍用密碼應(yīng)用安全性評估報(bào)告2被測系統(tǒng)情況2.1承載的業(yè)務(wù)情況2.2網(wǎng)絡(luò)拓?fù)鋱D及描述2.3密碼應(yīng)用情況2.3.1物理和環(huán)境安全密碼應(yīng)用情況2.3.2網(wǎng)絡(luò)和通信安全密碼應(yīng)用情況產(chǎn)品展開介紹}2.3.3設(shè)備和計(jì)算安全密碼應(yīng)用情況2.3.4應(yīng)用和數(shù)據(jù)安全密碼應(yīng)用情況2.4系統(tǒng)資產(chǎn)2.4.1物理環(huán)境{報(bào)告編號}境理環(huán)境名稱置12.4.2物理安防設(shè)施表2-2物理安防設(shè)施稱廠商和型號所在物理環(huán)境名稱122.4.3密碼產(chǎn)品表2-3密碼產(chǎn)品稱編號12342.4.4服務(wù)器/存儲設(shè)備表2-4服務(wù)器/存儲設(shè)備備1232.4.5網(wǎng)絡(luò)及安全設(shè)備用密碼應(yīng)用安全性評估報(bào)告表2-5網(wǎng)絡(luò)及安全設(shè)備(包括涉及的密碼技術(shù))123452.4.6數(shù)據(jù)庫管理系統(tǒng)表2-6數(shù)據(jù)庫管理系統(tǒng)據(jù)庫管理系統(tǒng)名稱度123452.4.7關(guān)鍵業(yè)務(wù)應(yīng)用表2-7關(guān)鍵業(yè)務(wù)應(yīng)用稱123452.4.8重要數(shù)據(jù){報(bào)告編號}表2-8重要數(shù)據(jù)用位置1實(shí)232.4.9安全管理文檔表2-9安全管理文檔1232.4.10人員1232.5密碼服務(wù)表2-11密碼服務(wù)服務(wù)名稱碼服務(wù)提供商122.6安全威脅表2-12安全威脅類別分類用密碼應(yīng)用安全性評估報(bào)告網(wǎng)絡(luò)在信息系統(tǒng)外部被非授權(quán)的截取、篡改錄和篡改設(shè)備的其他用戶獲取源安全標(biāo)記被非授權(quán)獲取和篡改非法篡改，以掩蓋非法操作和文件的來源不可信人員登錄源被登錄應(yīng)用的其他用戶獲取源安全標(biāo)記被非授權(quán)獲取和篡改或存儲的數(shù)據(jù)被外部攻擊者非法獲取用傳輸或存儲的數(shù)據(jù)被其他應(yīng)用獲取志記錄被非法篡改，以掩蓋非法操作序、重要應(yīng)用配置等重要信息被非法修改交易取非法篡改，或密鑰與實(shí)體之間的關(guān)聯(lián)關(guān)系被非法篡改用中，確，導(dǎo)致密鑰泄露、數(shù)據(jù)泄露等風(fēng)險(xiǎn){報(bào)告編號}2.7前次測評情況本次測評是被測信息系統(tǒng)進(jìn)行的第次商用密碼應(yīng)用安全性評估，上次評用密碼應(yīng)用安全性評估報(bào)告3測評范圍與方法3.1測評指標(biāo)3.1.1基本指標(biāo)表3-1GB/T39786—2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》{第三級別}要求基本指標(biāo)指標(biāo)描述 求 全進(jìn)入人員身份的真實(shí)性；宜整性8.1b)宜采用密碼技術(shù)保證電子門禁系統(tǒng)進(jìn)出記錄數(shù)完整性；宜記錄數(shù)整性性。宜全身份的真實(shí)性；應(yīng)整性b碼技術(shù)保證通信過程中數(shù)據(jù)的完整宜重要c用密碼技術(shù)保證通信過程中重要數(shù)據(jù)的應(yīng)性d密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問控制信息的宜e密碼技術(shù)對從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)證，確保接入的設(shè)備身份真實(shí)性?？扇玜密碼技術(shù)對登錄設(shè)備的用戶進(jìn)行身份鑒應(yīng)道安全b理設(shè)備時(shí)，應(yīng)采用密碼技術(shù)建立安全的應(yīng)c密碼技術(shù)保證系統(tǒng)資源訪問控制信息的宜安d密碼技術(shù)保證設(shè)備中的重要信息資源安宜{(lán)報(bào)告編號}性整性；宜序源真f碼技術(shù)對重要可執(zhí)行程序進(jìn)行完整性宜全a戶進(jìn)行身份鑒別，保應(yīng)制信息完b密碼技術(shù)保證信息系統(tǒng)應(yīng)用的訪問控制宜安性c密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要信息宜機(jī)d密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)應(yīng)機(jī)e密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)應(yīng)完f碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)宜完g密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)宜行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)宜 求 度應(yīng)b據(jù)密碼應(yīng)用方案建立相應(yīng)密鑰管理規(guī)則；應(yīng)應(yīng)8.5d)應(yīng)定期對密碼應(yīng)用安全管理制度和操作規(guī)程的應(yīng)應(yīng)記應(yīng)用密碼應(yīng)用安全性評估報(bào)告理規(guī)度全管理制度；應(yīng)權(quán)限：2)對關(guān)鍵崗位建立多人共管機(jī)制；密鑰管理、密碼安全審計(jì)、密碼操作人員職責(zé)互4)相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號不得多人共應(yīng)應(yīng)應(yīng)e關(guān)鍵人員保密制度和調(diào)離制度，簽訂保應(yīng)行方案案；應(yīng)管應(yīng)c照應(yīng)用方案實(shí)施建設(shè)；應(yīng)性方可正式運(yùn)行；應(yīng)應(yīng)應(yīng){報(bào)告編號}置應(yīng)屬的密碼管理部門報(bào)告事件發(fā)生情況及處置情應(yīng)指標(biāo)合計(jì)41項(xiàng)3.1.2特殊指標(biāo)未覆蓋(如行業(yè)標(biāo)準(zhǔn))或者高于GB/T39786—2021《信息安全技術(shù)信息系統(tǒng)密明}3.1.3不適用指標(biāo)：表3-2不適用指標(biāo)及說明指標(biāo)描述合計(jì)3.2測評方法及工具3.2.1現(xiàn)場測評方法訪談：通過與被測單位的相關(guān)人員進(jìn)行交談和問詢，了解被測信息系統(tǒng)用密碼應(yīng)用安全性評估報(bào)告檔，測系統(tǒng)密碼總體描述文件，安全管理制，安全保護(hù)等級定級報(bào)告，系統(tǒng)驗(yàn)收報(bào)告，安全需總體方案，自查或上次評估報(bào)告等等。通過對這些文實(shí)地查看：現(xiàn)場查看測評對象所處的環(huán)境、外觀等情況；配置檢查：查看測評對象的相關(guān)配置；工具測試：根據(jù)被測信息系統(tǒng)的實(shí)際情況，密評人員使用適合的技術(shù)工3.2.2測評工具本次商用密碼應(yīng)用安全性評估使用的測評工具如表3-3所示：表3-3測評工具123453.2.3測評工具檢查點(diǎn)3.3測評對象和對應(yīng)測評方式3.3.1測評對象確定方法3.3.2測評對象確定結(jié)果密碼技術(shù)應(yīng)用測評{報(bào)告編號}.1物理和環(huán)境安全測評表3-4物理和環(huán)境安全測評對象1XXXX機(jī)房訪談文檔審查實(shí)地查看配置檢查工具測試2XXXX機(jī)房訪談文檔審查實(shí)地查看配置檢查工具測試測評表3-5網(wǎng)絡(luò)和通信安全測評對象1訪談文檔審查實(shí)地查看配置檢查工具測試2道訪談文檔審查實(shí)地查看配置檢查工具測試表3-6設(shè)備和計(jì)算安全測評對象1訪談文檔審查實(shí)地查看用密碼應(yīng)用安全性評估報(bào)告配置檢查工具測試2訪談文檔審查實(shí)地查看配置檢查工具測試3訪談文檔審查實(shí)地查看配置檢查工具測試.4應(yīng)用和數(shù)據(jù)安全測評表3-7應(yīng)用和數(shù)據(jù)安全測評對象1XXX應(yīng)用訪談文檔審查實(shí)地查看配置檢查工具測試安全管理測評表3-8安全管理測評對象1訪談文檔審查2訪談文檔審查3訪談文檔審查4訪談{報(bào)告編號}文檔審查5訪談文檔審查用密碼應(yīng)用安全性評估報(bào)告4單元測評4.1密碼技術(shù)應(yīng)用要求4.1.1物理和環(huán)境安全結(jié)果匯總表4-1物理和環(huán)境安全測評結(jié)果匯總 測評指標(biāo)符合情況(符合/部分符合/不符合/不適用)視頻監(jiān)控記錄數(shù)據(jù)存儲1{XXXX機(jī)房}2{YYYY機(jī)房}(符合/部分符合/不結(jié)果分析4.1.2網(wǎng)絡(luò)和通信安全結(jié)果匯總針對不同測評單元，對各個(gè)測評對象的測評結(jié)果進(jìn)行匯總和統(tǒng)計(jì)，如表4-2表4-2網(wǎng)絡(luò)和通信安全測評結(jié)果匯總 測評指標(biāo)符合情況(符合/部分符合/不符合/不適用)信過程中重?fù)?jù)的機(jī)密性制信息的完1{外部客戶端與XXXXX系統(tǒng)的通信信道}2{系統(tǒng)管理員{報(bào)告編號}從外部進(jìn)行管理所使用的集(符合/部分符合/不符合/結(jié)果分析4.1.3設(shè)備和計(jì)算安全結(jié)果匯總針對不同測評單元，對各個(gè)測評對象的測評結(jié)果進(jìn)行匯總和統(tǒng)計(jì)，如表4-3表4-3設(shè)備和計(jì)算安全測評結(jié)果匯總序號測評指標(biāo)符合情況(符合/部分符合/不符合/不適用)息資全標(biāo)記重要可執(zhí)行程序完來源真實(shí)性1{密碼產(chǎn)品/2{通用服務(wù)器}3{其他涉及設(shè)備} 結(jié)果分析4.1.4應(yīng)用和數(shù)據(jù)安全用密碼應(yīng)用安全性評估報(bào)告結(jié)果匯總針對不同測評單元，對各個(gè)測評對象的測評結(jié)果進(jìn)行匯總和統(tǒng)計(jì)，如表4-4表4-4應(yīng)用和數(shù)據(jù)安全測評結(jié)果匯總測評指標(biāo)符合情況(符合/部分符合/不符合/不適用)性性據(jù)傳輸機(jī)密性2機(jī)密性完整性31{信息化辦公系統(tǒng)應(yīng)用}2(符合/部分符表4-5應(yīng)用和數(shù)據(jù)安全身份鑒別測評結(jié)果匯總戶1234(符合/部分符合/不符合/不適用)針對應(yīng)用和數(shù)據(jù)安全層面重要數(shù)據(jù)的機(jī)密性和完整性保護(hù)情況進(jìn)行說明和 1“身份鑒別”單元測評結(jié)果得出過程詳見表4-5?！眴卧獪y評結(jié)果得出過程詳見表4-6。3“不可否認(rèn)性”單元測評結(jié)果得出過程詳見表4-7。{報(bào)告編號}表4-6應(yīng)用和數(shù)據(jù)安全重要數(shù)據(jù)測評結(jié)果匯總輸機(jī)密性機(jī)密性輸完整性完整性1令}23456令}789(符合/部分符合/不符合/不適用)針對應(yīng)用和數(shù)據(jù)安全層面不可否認(rèn)性情況進(jìn)行說明和匯總，如表4-7所示：表4-7應(yīng)用和數(shù)據(jù)安全不可否認(rèn)性測評結(jié)果匯總行為12(符合/部分符合/不符合/不適用)結(jié)果分析4.2安全管理4.2.1管理制度結(jié)果匯總針對不同測評單元，對各個(gè)測評對象的測評結(jié)果進(jìn)行匯總和統(tǒng)計(jì)，如表4-8用密碼應(yīng)用安全性評估報(bào)告表4-8管理制度測評結(jié)果匯總 測評指標(biāo)符合情況(符合/部分符合/不符合/不適用)布流程過錄留存1 (包括安全管理制密碼應(yīng)用管理制度及策略類規(guī)程類文系統(tǒng)相關(guān)人員)} (符合/部分符合/不符結(jié)果分析4.2.2人員管理結(jié)果匯總針對不同測評單元，對各個(gè)測評對象的測評結(jié)果進(jìn)行匯總和統(tǒng)計(jì)，如表4-9表4-9人員管理測評結(jié)果匯總 測評指標(biāo)符合情況(符合/部分符合/不符合/不適用)關(guān)法鍵崗位人{(lán)報(bào)告編號}管理1{管理體系(包括安全管理制度類文系統(tǒng)相關(guān)人員)} (符合/部分符合/不符合適用)結(jié)果分析4.2.3建設(shè)運(yùn)行結(jié)果匯總表4-10建設(shè)運(yùn)行測評結(jié)果匯總序號測評指標(biāo)符合情況(符合/部分符合/不符合/不適用)密安估演習(xí)12統(tǒng)相關(guān)人員)} (符合/部分符合/不符合/不適用)結(jié)果分析用密碼應(yīng)用安全性評估報(bào)告4.2.4應(yīng)急處置結(jié)果匯總表4-11應(yīng)急處置測評結(jié)果匯總 測評指標(biāo)符合情況(符合/部分符合/不符合/不適用)置置情況1用應(yīng)急處 (符合/部分符合/不符合/不適用)結(jié)果分析{報(bào)告編號}5整體測評5.1測評結(jié)果修正表5-1測評結(jié)果修正前的測結(jié)果/分值的評結(jié)果/分關(guān)1 {應(yīng)用和數(shù)據(jù)安全}輸機(jī)密性}/0.5}象在應(yīng)用和數(shù)據(jù)安全層面明文傳輸，測評對象原始分值為0。在網(wǎng)絡(luò)和通信安全經(jīng)商用密碼檢測認(rèn)證的SSLVPN建立安全傳輸通道(國密SSL協(xié)進(jìn)行機(jī)密性保經(jīng)網(wǎng)絡(luò)和通信安全層面彌補(bǔ)后，該測評對象分值0.5。}{部分符合/0.25}{部分符合/0.5} 25.2整體測評結(jié)果和量化評估用密碼應(yīng)用安全性評估報(bào)告表5-2整體測評結(jié)果 (類)Si,j得分情 況Si∑1≤j≤niwi,jSi,j∑1≤j≤niwi,j符合部分符合不符合不適用 全記錄數(shù)據(jù)存儲完整性 全 整性重要數(shù)據(jù)的機(jī)密性性 全 道安全息完整性安全標(biāo)記完整性源真實(shí)性 全 制信息完整性安全標(biāo)記完整性機(jī)密性機(jī)密性完整性完整性 度理制度{報(bào)告編號}記錄留存 理 度位責(zé)任制度訓(xùn)制度考核員保密制度和 行 方案管理策略密碼應(yīng)用安全性評估抗演習(xí) 置符合部分符合不符合不適用用密碼應(yīng)用安全性評估報(bào)告6風(fēng)險(xiǎn)分析風(fēng)1：}析 序號高中低11002{報(bào)告編號}7評估結(jié)論的測評，該系統(tǒng)綜合得分為{XX}分，系統(tǒng)密碼應(yīng)用面臨{高/中/低}風(fēng)險(xiǎn)，{符合/的第{X}三級別要求5。，結(jié)論為符合；否則，結(jié)論為不符合。用密碼應(yīng)用安全性評估報(bào)告A.1.物理和環(huán)境安全表A-1物理和環(huán)境安全測評結(jié)果記錄 標(biāo)單元得分 Si,j∑1≤k≤ni,jSi,j,kni,j全D性AKSi,j,k{XXXX機(jī)房}關(guān)管理員、安全主管，審查電子門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)后核實(shí)：機(jī)房訪問人物識別(指紋)方式實(shí)現(xiàn)機(jī)房進(jìn)出的身份鑒別?；驹頌榈怯浿讣y-刷指紋-將；登記或刷指紋的鑒別數(shù)據(jù)通過專線傳至{YYYY機(jī)房}{報(bào)告編號}整性{XXXX機(jī)房}技術(shù)保護(hù)電子門禁系統(tǒng)進(jìn)出記錄完后才可對訪問記錄操作，允許管理員刪除訪問{YYYY機(jī)房}視頻監(jiān)控記錄數(shù)據(jù)存整性{XXXX機(jī)房}個(gè)字符，更新周