商用密碼應(yīng)安全性評(píng)估報(bào)告模板（2021版）

1、 HYPERLINK https:/ 商用密碼應(yīng)用安全性評(píng)估報(bào)告模板 HYPERLINK https:/ （2021 版） HYPERLINK https:/ HYPERLINK https:/ HYPERLINK https:/ HYPERLINK https:/ HYPERLINK https:/ HYPERLINK https:/ HYPERLINK https:/ HYPERLINK https:/ HYPERLINK https:/ HYPERLINK https:/ HYPERLINK https:/ 報(bào)告編號(hào)：XXX 系統(tǒng)密碼應(yīng)用方案商用密碼應(yīng)用安全性評(píng)估報(bào)告委托單位：密評(píng)機(jī)構(gòu)：

2、報(bào)告時(shí)間：基本信息表責(zé)任單位單位名稱單位地址郵政編碼所屬省部 密碼管理 部門聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件信息系統(tǒng)系統(tǒng)名稱網(wǎng)絡(luò)安全 等級(jí)保護(hù) 定級(jí)情況已定級(jí)，第 級(jí)（一至四），S A G 。未定級(jí)，本次密評(píng)依據(jù) GB/T 39786-2021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求第 級(jí)（一至四）信息系統(tǒng)要求網(wǎng)絡(luò)安全 等級(jí)保護(hù) 定級(jí)備案 情況已備案?jìng)浒缸C明編號(hào)： 未備案 本次被評(píng)信息系統(tǒng)與等級(jí)保護(hù)定級(jí)系統(tǒng)是否一致是否，變化情況說(shuō)明：網(wǎng)絡(luò)安全 等級(jí)保護(hù) 測(cè)評(píng)情況已測(cè)評(píng)測(cè)評(píng)機(jī)構(gòu)名稱： 測(cè)評(píng)時(shí)間： 測(cè)評(píng)結(jié)論： 正在測(cè)評(píng)測(cè)評(píng)機(jī)構(gòu)名稱： 未測(cè)評(píng)商用密碼應(yīng)用安全性評(píng)估情況已評(píng)估密評(píng)機(jī)構(gòu)

3、名稱： 評(píng)估時(shí)間： 評(píng)估結(jié)論： 正在評(píng)估密評(píng)機(jī)構(gòu)名稱： 未評(píng)估密評(píng)機(jī)構(gòu)單位名稱通信地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件審核批準(zhǔn)編制人（簽字）編制日期審核人（簽字）審核日期批準(zhǔn)人（簽字）批準(zhǔn)日期商用密碼應(yīng)用安全性評(píng)估結(jié)論方案名稱方案簡(jiǎn)介簡(jiǎn)要描述系統(tǒng)情況，方案內(nèi)容。評(píng)估情況簡(jiǎn)介簡(jiǎn)要描述方案評(píng)估時(shí)間、范圍、內(nèi)容和過(guò)程（包括方案修改的交互過(guò)程，方案最后定稿的時(shí)間和版本）等。評(píng)估結(jié)論通過(guò)/不通過(guò)不適用指標(biāo)數(shù)目/總指標(biāo)項(xiàng)數(shù)目X/Y改進(jìn)建議評(píng)估結(jié)論為不通過(guò)時(shí)，具體修改意見(jiàn)為針對(duì)XXXX 系統(tǒng)密碼應(yīng)用方案中存在的 XXX 問(wèn)題（指出具體章節(jié)，具體問(wèn)題），具體修改建議為 XXX，需補(bǔ)

4、充的材料為 XXX。評(píng)估結(jié)論為通過(guò)時(shí)：無(wú)意見(jiàn)/或進(jìn)一步完善的參考建議意見(jiàn)為 XXX。目錄 HYPERLINK l _bookmark0 聲 明 I HYPERLINK l _bookmark1 基本信息表 I HYPERLINK l _bookmark2 商用密碼應(yīng)用安全性評(píng)估結(jié)論 II HYPERLINK l _bookmark3 改進(jìn)建議 III HYPERLINK l _bookmark4 系統(tǒng)概述 1 HYPERLINK l _bookmark8 安全控制措施描述及指標(biāo)適用情況 4 HYPERLINK l _bookmark12 安全控制措施評(píng)估結(jié)果 9 HYPERLINK l _bo

5、okmark14 方案評(píng)估結(jié)論 12 HYPERLINK l _bookmark15 附：XXXX 系統(tǒng)密碼應(yīng)用方案 13系統(tǒng)概述圖 1 系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D該部分內(nèi)容需包含系統(tǒng)網(wǎng)絡(luò)拓?fù)?、承載的業(yè)務(wù)情況等內(nèi)容，梳理系統(tǒng)各安全層面保護(hù)對(duì)象 HYPERLINK l _bookmark6 （匯總到表 1 中）。系統(tǒng)網(wǎng)絡(luò)拓?fù)鋺?yīng)結(jié)合系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D HYPERLINK l _bookmark5 （圖 1 為示例），說(shuō)明系統(tǒng)體系架構(gòu)、網(wǎng)絡(luò)所在機(jī)房情況（物理機(jī)房的個(gè)數(shù)及其所在具體位置）、網(wǎng)絡(luò)邊界劃分、跨網(wǎng)絡(luò)訪問(wèn)的通信信道、設(shè)備組成及實(shí)現(xiàn)功能等內(nèi)容。承載的業(yè)務(wù)情況包含系統(tǒng)承載的業(yè)務(wù)應(yīng)用、業(yè)務(wù)功能、應(yīng)用用戶、重要數(shù)據(jù)以

6、及關(guān)鍵的用戶操作行為等。表 1 系統(tǒng)各安全層面保護(hù)對(duì)象匯總序號(hào) 安全層面 保護(hù)對(duì)象 1物理和環(huán)境安全 物理機(jī)房 1 2物理機(jī)房 2 3。 4物理機(jī)房 n5網(wǎng)絡(luò)和通信安全 通信信道 16通信信道 27。序號(hào) 安全層面 保護(hù)對(duì)象 8通信信道 n9設(shè)備和計(jì)算安全 應(yīng)用服務(wù)器10數(shù)據(jù)庫(kù)服務(wù)器11數(shù)據(jù)庫(kù)管理系統(tǒng)12服務(wù)器密碼機(jī)等整理類密碼產(chǎn)品13電子簽章系統(tǒng)等系統(tǒng)類密碼產(chǎn)品14堡壘機(jī)15應(yīng)用和數(shù)據(jù)安全 應(yīng)用 116應(yīng)用 217。18應(yīng)用 n19管理制度 管理體系（包括安全管理制度類文檔、密碼應(yīng)用方案、密鑰管理制度及策略類文檔、操作規(guī)程類文檔、記錄表單類文檔、系統(tǒng)相關(guān)人員）20人員管理 管理體系（包括安全

7、管理制度類文檔、記錄表單類文檔、系統(tǒng)相關(guān)人員） 21建設(shè)運(yùn)行 密碼應(yīng)用方案、密鑰管理制度及策略類文檔、密碼實(shí)施方案、商用密碼應(yīng)用安全性評(píng)估報(bào)告、密碼應(yīng)用安全管理制度、攻防對(duì)抗演習(xí)報(bào)告、整改文檔 22管理體系（包括安全管理制度類文檔、記錄表單類文檔、系統(tǒng)相關(guān)人員）23應(yīng)急處置 管理體系（包括密碼應(yīng)用應(yīng)急處置方案、應(yīng)急處置記錄類文檔、安全事件發(fā)生情況及處置情況報(bào)告、系統(tǒng)相關(guān)人員） 進(jìn)一步對(duì)應(yīng)用和數(shù)據(jù)安全層面的保護(hù)對(duì)象進(jìn)行梳理（匯總到 HYPERLINK l _bookmark7 表 2 中），重點(diǎn)梳理各個(gè)應(yīng)用具有身份鑒別（真實(shí)性）需求的應(yīng)用用戶，各個(gè)應(yīng)用的重要數(shù)據(jù)及對(duì)應(yīng)具體安全需求，各個(gè)應(yīng)用具有不

8、可否認(rèn)性需求的操作行為。表 2 應(yīng)用和數(shù)據(jù)安全層面保護(hù)對(duì)象應(yīng)用名稱 類別 具體保護(hù)對(duì)象 安全需求 應(yīng)用 1 應(yīng)用用戶 應(yīng)用用戶 1 真實(shí)性 應(yīng)用用戶 2 真實(shí)性 。 真實(shí)性 應(yīng)用用戶 n 真實(shí)性 重要數(shù)據(jù) 重要數(shù)據(jù) 1 傳輸機(jī)密性 存儲(chǔ)機(jī)密性 傳輸完整性 存儲(chǔ)完整性 重要數(shù)據(jù) 2 傳輸機(jī)密性 存儲(chǔ)機(jī)密性 傳輸完整性 存儲(chǔ)完整性 。 傳輸機(jī)密性 存儲(chǔ)機(jī)密性 傳輸完整性 存儲(chǔ)完整性 重要數(shù)據(jù) n 傳輸機(jī)密性 存儲(chǔ)機(jī)密性 傳輸完整性 存儲(chǔ)完整性 操作行為 操作行為 1 不可否認(rèn)性 操作行為 2不可否認(rèn)性 。不可否認(rèn)性 操作行為 n不可否認(rèn)性 應(yīng)用 2 應(yīng)用用戶 XX 應(yīng)用用戶 真實(shí)性 重要數(shù)據(jù) XX

9、 重要數(shù)據(jù) 傳輸機(jī)密性 存儲(chǔ)機(jī)密性 傳輸完整性 存儲(chǔ)完整性 操作行為 XX 操作行為 不可否認(rèn)性 。 應(yīng)用用戶 XX 應(yīng)用用戶 真實(shí)性 重要數(shù)據(jù) XX 重要數(shù)據(jù) 傳輸機(jī)密性 存儲(chǔ)機(jī)密性 傳輸完整性 存儲(chǔ)完整性 操作行為 XX 操作行為 不可否認(rèn)性 應(yīng)用n 應(yīng)用用戶 XX 應(yīng)用用戶 真實(shí)性 重要數(shù)據(jù) XX 重要數(shù)據(jù) 傳輸機(jī)密性 存儲(chǔ)機(jī)密性 傳輸完整性 存儲(chǔ)完整性 操作行為 XX 操作行為 不可否認(rèn)性 安全控制措施描述及指標(biāo)適用情況圖 2 系統(tǒng)密碼應(yīng)用部署圖結(jié)合系統(tǒng)密碼應(yīng)用部署圖 HYPERLINK l _bookmark9 （圖 2 為示例），概括總結(jié)每個(gè)安全層面中各個(gè)保護(hù)對(duì)象的安全控制措施（包

10、含密碼應(yīng)用措施和/或風(fēng)險(xiǎn)替代措施），并匯總說(shuō)明系統(tǒng)指標(biāo)適用情況。在物理和環(huán)境安全方面，XXX。在網(wǎng)絡(luò)和通信安全方面，XXX。在設(shè)備和計(jì)算安全方面，XXX。在應(yīng)用和數(shù)據(jù)安全方面，XXX。在管理制度方面，XXX。在人員管理方面，XXX。在建設(shè)運(yùn)行方面，XXX。在應(yīng)急處置方面，XXX。XX 系統(tǒng)密碼應(yīng)用方案依據(jù) GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求的第三級(jí)別要求進(jìn)行設(shè)計(jì)，選取的指標(biāo)總數(shù)為41項(xiàng)，其中確定的不適用指標(biāo)XX項(xiàng)， HYPERLINK l _bookmark10 具體見(jiàn)表 3。特殊指標(biāo)XX項(xiàng)（見(jiàn) HYPERLINK l _bookmark11 表 4）。以第三級(jí)

11、別要求為例，按實(shí)際系統(tǒng)級(jí)別情況進(jìn)行修改表 3 指標(biāo)適用情況及論證說(shuō)明安全層面指標(biāo)要求應(yīng)用要求適用情況不適用性論證說(shuō)明物理和環(huán)境安全8.1 a）宜采用密碼技術(shù)進(jìn)行物理訪問(wèn)身份鑒別，保證重要區(qū)域進(jìn)入人員身份的真實(shí)性；宜適用 不適用無(wú)/XX 對(duì)象不適用，原因?yàn)?XX。8.1 b）宜采用密碼技術(shù)保證電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)的存儲(chǔ)完整性；宜適用 不適用8.1 c）宜采用密碼技術(shù)保證視頻監(jiān)控音像記錄數(shù)據(jù)的存儲(chǔ)完整性。宜適用 不適用網(wǎng)絡(luò)和通信安全8.2 a）應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行身份鑒別，保證通信實(shí)體身份的真實(shí)性；應(yīng)適用 8.2 b) 宜采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；宜適用 不適用8.2 c

12、) 應(yīng)采用密碼技術(shù)保證通信過(guò)程中重要數(shù)據(jù)的機(jī)密性；應(yīng)適用8.2 d) 宜采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問(wèn)控制信息的完整性；宜適用 不適用8.2 e) 可采用密碼技術(shù)對(duì)從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證，確可適用 不適用保接入的設(shè)備身份真實(shí)性。設(shè)備和計(jì)算安全8.3 a) 應(yīng)采用密碼技術(shù)對(duì)登錄設(shè)備的用戶進(jìn)行身份鑒別，保證用戶身份的真實(shí)性；應(yīng)適用8.3 b) 遠(yuǎn)程管理設(shè)備時(shí)，應(yīng)采用密碼技術(shù)建立安全的信息傳輸通道；應(yīng)適用8.3 c) 宜采用密碼技術(shù)保證系統(tǒng)資源訪問(wèn)控制信息的完整性；宜適用 不適用8.3 d) 宜采用密碼技術(shù)保證設(shè)備中的重要信息資源安全標(biāo)記的完整性；宜適用 不適用8.3 e) 宜采用密碼

13、技術(shù)保證日志記錄的完整性；宜適用 不適用8.3 f) 宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù)，并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證。宜適用 不適用應(yīng)用和數(shù)據(jù)安全8.4 a) 應(yīng)采用密碼技術(shù)對(duì)登錄用戶進(jìn)行身份鑒別，保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性；應(yīng)適用8.4 b) 宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的訪問(wèn)控制信息的完整性；宜適用 不適用8.4 c) 宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要信息資源安全標(biāo)記的完整性；宜適用 不適用8.4 d) 應(yīng)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性；應(yīng)適用8.4 e) 應(yīng)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的機(jī)密性；應(yīng)適用8.4 f) 宜采用密

14、碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過(guò)程中的完整性；宜適用 不適用8.4 g) 宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性；宜適用 不適用8.4 h) 在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中，宜采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實(shí)現(xiàn)數(shù)據(jù)原發(fā)宜適用 不適用行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性。管理制度8.5 a）應(yīng)具備密碼應(yīng)用安全管理制度，包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)急處置、密碼軟硬件及介質(zhì)管理等制度；應(yīng)適用8.5 b）應(yīng)根據(jù)密碼應(yīng)用方案建立相應(yīng)密鑰管理規(guī)則；應(yīng)適用8.5 c）應(yīng)對(duì)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；應(yīng)適用8.5 d）應(yīng)定期對(duì)

15、密碼應(yīng)用安全管理制度和操作規(guī)程的合理性和適用性進(jìn)行論證和審定，對(duì)存在不足或需要改進(jìn)之處進(jìn)行修訂；應(yīng)適用8.5 e）應(yīng)明確相關(guān)密碼應(yīng)用安全管理制度和操作規(guī)程的發(fā)布流程并進(jìn)行版本控制；應(yīng)適用8.5 f）應(yīng)具有密碼應(yīng)用操作規(guī)程的相關(guān)執(zhí)行記錄并妥善保存。應(yīng)適用人員管理8.6 a）相關(guān)人員應(yīng)了解并遵守密碼相關(guān)法律法規(guī)、密碼應(yīng)用安全管理制度；應(yīng)適用8.6 b) 應(yīng)建立密碼應(yīng)用崗位責(zé)任制度，明確各崗位在安全系統(tǒng)中的職責(zé)和權(quán)限：根據(jù)密碼應(yīng)用的實(shí)際情況，設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位；對(duì)關(guān)鍵崗位建立多人共管機(jī)制；密鑰管理、密碼安全審計(jì)、密碼操作人員職責(zé)互相制約互相監(jiān)督，其中密鑰管理員崗

16、位不可與密碼審計(jì)員、密碼操作員等關(guān)鍵安全崗位兼任；相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)不得多人共用。應(yīng)適用8.6 c) 應(yīng)建立上崗人員培訓(xùn)制度，對(duì)于涉及密碼的操作和管理的人員進(jìn)行專門培訓(xùn)，確保其具備崗位所需專應(yīng)適用業(yè)技能；8.6 d) 應(yīng)定期對(duì)密碼應(yīng)用安全崗位人員進(jìn)行考核；應(yīng)適用8.6 e) 應(yīng)建立關(guān)鍵人員保密制度和調(diào)離制度，簽訂保密合同，承擔(dān)保密義務(wù)。應(yīng)適用建設(shè)運(yùn)行8.7 a）應(yīng)依據(jù)密碼相關(guān)標(biāo)準(zhǔn)和密碼應(yīng)用需求，制定密碼應(yīng)用方案；應(yīng)適用8.7 b）應(yīng)根據(jù)密碼應(yīng)用方案，確定系統(tǒng)涉及的密鑰種類、體系及其生命周期環(huán)節(jié)，各環(huán)節(jié)安全管理要求參照信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求附錄 A；應(yīng)適用8.7 c）

17、應(yīng)按照應(yīng)用方案實(shí)施建設(shè)；應(yīng)適用8.7 d）投入運(yùn)行前應(yīng)進(jìn)行密碼應(yīng)用安全性評(píng)估，評(píng)估通過(guò)后系統(tǒng)方可正式運(yùn)行；應(yīng)適用8.7 e）在運(yùn)行過(guò)程中，應(yīng)嚴(yán)格執(zhí)行既定的密碼應(yīng)用安全管理制度，應(yīng)定期開展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí)，并根據(jù)評(píng)估結(jié)果進(jìn)行整改。應(yīng)適用應(yīng)急處置8.8 a）應(yīng)制定密碼應(yīng)用應(yīng)急策略，做好應(yīng)急資源準(zhǔn)備，當(dāng)密碼應(yīng)用安全事件發(fā)生時(shí)，應(yīng)立即啟動(dòng)應(yīng)急處置措施，結(jié)合實(shí)際情況及時(shí)處置；應(yīng)適用8.8 b）事件發(fā)生后，應(yīng)及時(shí)向信息系統(tǒng)主管部門進(jìn)行報(bào)告；應(yīng)適用8.8 c）事件處置完成后，應(yīng)及時(shí)向信息系統(tǒng)主管部門及歸屬的密碼管理部門報(bào)告事件發(fā)生情況及處置情況。應(yīng)適用指標(biāo)合計(jì)41 項(xiàng)不適用指標(biāo)合計(jì)XX 項(xiàng)表

18、 4 特殊指標(biāo)及解釋說(shuō)明序號(hào)安全層面指標(biāo)要求解釋說(shuō)明1網(wǎng)絡(luò)和通信安全9.2 a）應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行雙向如系統(tǒng)在網(wǎng)絡(luò)和通信層面對(duì)通信實(shí)體具有雙向身份鑒別需求，三級(jí)身份鑒別，保證通信實(shí)體身份的真實(shí)性。系統(tǒng)選用了四級(jí)指標(biāo)。2特殊指標(biāo)合計(jì)XX 項(xiàng)安全控制措施評(píng)估結(jié)果針對(duì)密碼應(yīng)用方案中各個(gè)安全層面保護(hù)對(duì)象所采取的安全控制措施（包含密碼應(yīng)用措施和/ HYPERLINK l _bookmark13 或風(fēng)險(xiǎn)替代措施）按指標(biāo)進(jìn)行評(píng)估，如表 5 所示。若指標(biāo)涉及的所有保護(hù)對(duì)象的相應(yīng)安全控制措施有效（不存在高風(fēng)險(xiǎn)），且方案中描述的實(shí)施保障措施合理，則該指標(biāo)的評(píng)估結(jié)果為通過(guò)；否則，該指標(biāo)的評(píng)估結(jié)果為未通過(guò)。

19、表 5 安全控制措施評(píng)估結(jié)果安全層面 指標(biāo)要求 評(píng)估結(jié)果 未通過(guò)原因說(shuō)明 物理和環(huán)境安全 身份鑒別 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析視頻監(jiān)控記錄數(shù)據(jù)存儲(chǔ)完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析網(wǎng)絡(luò)和通信安全 身份鑒別 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 通信數(shù)據(jù)完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 通信過(guò)程中重要數(shù)據(jù)的機(jī)密性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)邊界訪問(wèn)控制信息的完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 安全層面 指標(biāo)要求 評(píng)估結(jié)果 未通過(guò)原因說(shuō)明 安全接入認(rèn)證 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 設(shè)備和計(jì)算安全 身份鑒別 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 遠(yuǎn)程管理通道

20、安全 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 系統(tǒng)資源訪問(wèn)控制信息完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 重要信息資源安全標(biāo)記完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 日志記錄完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 重要可執(zhí)行程序完整性、重要可執(zhí)行程序來(lái)源真實(shí)性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 應(yīng)用和數(shù)據(jù)安全 身份鑒別 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 訪問(wèn)控制信息完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 重要信息資源安全標(biāo)記完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 重要數(shù)據(jù)傳輸機(jī)密性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 重要數(shù)據(jù)存儲(chǔ)機(jī)密性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 重要數(shù)據(jù)傳輸完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 安全層面 指標(biāo)要求 評(píng)估結(jié)果 未

21、通過(guò)原因說(shuō)明 重要數(shù)據(jù)存儲(chǔ)完整性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 不可否認(rèn)性 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 管理制度 具備密碼應(yīng)用安全管理制度 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 密鑰管理規(guī)則 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 建立操作規(guī)程 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 定期修訂安全管理制度 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 明確管理制度發(fā)布流程 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 制度執(zhí)行過(guò)程記錄留存 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 人員管理 了解并遵守密碼相關(guān)法律法規(guī)和密碼管理制度 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 建立密碼應(yīng)用崗位責(zé)任制度 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 建立上崗人員培訓(xùn)制度 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 定期進(jìn)行安全崗位

22、人員考核 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 建立關(guān)鍵崗位人員保密制度和調(diào)離制度 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 安全層面 指標(biāo)要求 評(píng)估結(jié)果 未通過(guò)原因說(shuō)明 建設(shè)運(yùn)行 制定密碼應(yīng)用方案 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 制定密鑰安全管理策略 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 制定實(shí)施方案 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評(píng)估 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 定期開展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí) 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 應(yīng)急處置 應(yīng)急策略 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 事件處置 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 向有關(guān)主管部門上報(bào)處置情況 通過(guò) 未通過(guò) 具體風(fēng)險(xiǎn)分析 方案評(píng)估結(jié)論受委托單位委托，密

23、評(píng)機(jī)構(gòu)名稱于 XX 年 XX 月 XX 日至 XX 年 XX 月 XX 日，依據(jù) GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求和 GM/T 01152021信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求的第 XX（一四）級(jí)相關(guān)要求，對(duì)XX 系統(tǒng)密碼應(yīng)用方案進(jìn)行了商用密碼應(yīng)用安全性評(píng)估，結(jié)論為： 通過(guò)/不通過(guò)1。 以下報(bào)告內(nèi)容無(wú)正文 1 若所有指標(biāo)的安全控制措施評(píng)估結(jié)果均為通過(guò)，且初步量化評(píng)估分?jǐn)?shù)能夠達(dá)到閾值要求，則方案評(píng)估結(jié)論為通過(guò)；否則為不通過(guò)。附：XXXX 系統(tǒng)密碼應(yīng)用方案報(bào)告編號(hào)：XXXXX 系統(tǒng)商用密碼應(yīng)用安全性評(píng)估報(bào)告被測(cè)單位：密評(píng)機(jī)構(gòu)：報(bào)告時(shí)間：聲 明本報(bào)告是XXXXX 系統(tǒng)的商用

24、密碼應(yīng)用安全性評(píng)估報(bào)告。本報(bào)告評(píng)估結(jié)論的有效性建立在被測(cè)單位提供相關(guān)證據(jù)的真實(shí)性基礎(chǔ)之上。本報(bào)告中給出的評(píng)估結(jié)論僅對(duì)被測(cè)信息系統(tǒng)當(dāng)時(shí)的安全狀態(tài)有效。被測(cè)信息系統(tǒng)發(fā)生變更后，應(yīng)重新對(duì)其進(jìn)行評(píng)估，本報(bào)告不再適用。本報(bào)告中給出的評(píng)估結(jié)論不能作為對(duì)被測(cè)信息系統(tǒng)內(nèi)部署的相關(guān)系統(tǒng)構(gòu)成組件（或產(chǎn)品）的評(píng)估結(jié)論。在任何情況下，若需引用本報(bào)告中的評(píng)估結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對(duì)相關(guān)內(nèi)容擅自進(jìn)行增加、修改和偽造或掩蓋事實(shí)。密評(píng)機(jī)構(gòu)名稱（蓋章）年月日被測(cè)信息系統(tǒng)基本信息表被測(cè)單位單位名稱單位地址郵政編碼所屬省部密碼管理部門聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件被測(cè)信息系統(tǒng)系統(tǒng)名稱網(wǎng)絡(luò)安全等級(jí)

25、保護(hù)定級(jí)情況已定級(jí)，第級(jí)（一至四），SAG。未定級(jí)，本次密評(píng)依據(jù) GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求第級(jí)（一至四）信息系統(tǒng)要求網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案情況已備案?jìng)浒缸C明編號(hào)：未備案本次被測(cè)信息系統(tǒng)與等級(jí)保護(hù)定級(jí)系統(tǒng)是否一致是否，變化情況說(shuō)明：網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)情況已測(cè)評(píng)測(cè)評(píng)機(jī)構(gòu)名稱：測(cè)評(píng)時(shí)間：測(cè)評(píng)結(jié)論：正在測(cè)評(píng)測(cè)評(píng)機(jī)構(gòu)名稱：未測(cè)評(píng)系統(tǒng)服務(wù)情況服務(wù)范圍全國(guó)跨?。▍^(qū)、市）跨個(gè)全?。▍^(qū)、市）跨地（市、區(qū)）跨個(gè)地（市、區(qū)）內(nèi)其他服務(wù)領(lǐng)域電信廣電經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)鐵路銀行海關(guān)稅務(wù)民航電力證券保險(xiǎn)國(guó)防科技工業(yè)公安財(cái)政人事勞動(dòng)和社會(huì)保障審計(jì)商業(yè)貿(mào)易國(guó)土資源能源交通統(tǒng)計(jì)工商行政

26、管理郵政教育文化衛(wèi)生農(nóng)業(yè)水利外交發(fā)展改革科技宣傳質(zhì)量監(jiān)督檢驗(yàn)檢疫其他服務(wù)對(duì)象單位內(nèi)部人員社會(huì)公眾人員兩者均包括其他系統(tǒng)網(wǎng)絡(luò)平臺(tái)覆蓋范圍局域網(wǎng)城域網(wǎng)廣域網(wǎng)其他網(wǎng)絡(luò)性質(zhì)業(yè)務(wù)專網(wǎng)互聯(lián)網(wǎng)其他系統(tǒng)服務(wù)用戶數(shù)量大概數(shù)量級(jí)/被測(cè)系統(tǒng)處于建設(shè)階段系統(tǒng)是否已投入運(yùn)行是，投入運(yùn)行時(shí)間：年 月否，目前情況： 系統(tǒng)互聯(lián)情況與其他行業(yè)系統(tǒng)連接與本行業(yè)其他單位系統(tǒng)連接與本單位其他系統(tǒng)連接其他系統(tǒng)是否具有密碼應(yīng)用方案有密碼應(yīng)用方案，且通過(guò)評(píng)審，評(píng)審?fù)ㄟ^(guò)時(shí)間：評(píng)審方式：專家評(píng)審密評(píng)機(jī)構(gòu)評(píng)審，密評(píng)機(jī)構(gòu)名稱：有密碼應(yīng)用方案，但未通過(guò)評(píng)審無(wú)密碼應(yīng)用方案系統(tǒng)使用的密碼產(chǎn)品情況系統(tǒng)使用的密碼產(chǎn)品（臺(tái)套），獨(dú)立使用（臺(tái)套），共享使用（臺(tái)

27、套）；其中，取得認(rèn)證證書的產(chǎn)品數(shù)量臺(tái)套，未取得認(rèn)證證書的國(guó)內(nèi)產(chǎn)品數(shù)量（臺(tái)套），國(guó)外產(chǎn)品數(shù)量（臺(tái)套）。系統(tǒng)未使用密碼產(chǎn)品系統(tǒng)使用的密碼算法分組算法：SM1 SM4 SM7 AES DES 3DES 其他非對(duì)稱算法：SM2SM9 RSA1024 RSA2048 其他雜湊算法：SM3SHA-1SHA-256SHA-384SHA-512MD5 其他序列算法：ZUC其他其他算法：密評(píng)機(jī)構(gòu)單位名稱通信地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件審核批準(zhǔn)編制人（簽字）編制日期審核人（簽字）審核日期批準(zhǔn)人（簽字）批準(zhǔn)日期商用密碼應(yīng)用安全性評(píng)估結(jié)論系統(tǒng)名稱系統(tǒng)簡(jiǎn)介測(cè)評(píng)情況簡(jiǎn)介（簡(jiǎn)要描述測(cè)評(píng)范

28、圍和主要內(nèi)容。建議不超過(guò) 200 字。）評(píng)估結(jié)論符合/基本符合/不符合綜合得分不適用項(xiàng)數(shù)目/總測(cè)評(píng)指標(biāo)項(xiàng)數(shù)目X/Y高風(fēng)險(xiǎn)項(xiàng)數(shù)目總體評(píng)價(jià)本次信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估依據(jù) GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求的第X級(jí)別要求，選取的測(cè)評(píng)指標(biāo)總數(shù)為 XXX 項(xiàng)，其中不適用項(xiàng)為 XXX 項(xiàng)，特殊指標(biāo) XXX 項(xiàng)。測(cè)評(píng)結(jié)果為：符合項(xiàng) XXX 項(xiàng)，部分符合項(xiàng) XXX 項(xiàng)，不符合項(xiàng) XXX 項(xiàng)。其中，在部分符合和不符合項(xiàng)中：高風(fēng)險(xiǎn)項(xiàng) XXX 項(xiàng)，中風(fēng)險(xiǎn)項(xiàng) XXX 項(xiàng)，低風(fēng)險(xiǎn)項(xiàng) XXX 項(xiàng)。在物理和環(huán)境安全方面，XXX在網(wǎng)絡(luò)和通信安全方面，XXX在設(shè)備和計(jì)算安全方面，XXX在

29、應(yīng)用和數(shù)據(jù)安全方面，XXX在管理制度方面，XXX在人員管理方面，XXX在建設(shè)運(yùn)行方面，XXX在應(yīng)急處置方面，XXX通過(guò)對(duì) XXXXX 系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置等方面的測(cè)評(píng)，該系統(tǒng)符合/基本符合/不符合GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求的第X級(jí)別要求。安全問(wèn)題及改進(jìn)建議本次信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估依據(jù) GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求的第X級(jí)別要求，發(fā)現(xiàn)被測(cè)信息系統(tǒng)存在以下安全問(wèn)題。建議被測(cè)信息系統(tǒng)根據(jù)實(shí)際情況和以下給出的建議進(jìn)行整改。物理和

30、環(huán)境安全問(wèn)題描述：改進(jìn)建議：網(wǎng)絡(luò)和通信安全問(wèn)題描述：改進(jìn)建議：設(shè)備和計(jì)算安全問(wèn)題描述：改進(jìn)建議：應(yīng)用和數(shù)據(jù)安全問(wèn)題描述：改進(jìn)建議：管理制度問(wèn)題描述：改進(jìn)建議：人員管理問(wèn)題描述：改進(jìn)建議：建設(shè)運(yùn)行問(wèn)題描述：改進(jìn)建議：應(yīng)急處置問(wèn)題描述：改進(jìn)建議：目錄 HYPERLINK l _bookmark16 聲 明 I HYPERLINK l _bookmark17 被測(cè)信息系統(tǒng)基本信息表 I HYPERLINK l _bookmark18 商用密碼應(yīng)用安全性評(píng)估結(jié)論 III HYPERLINK l _bookmark19 總體評(píng)價(jià) IV HYPERLINK l _bookmark20 安全問(wèn)題及改進(jìn)建議

31、V HYPERLINK l _bookmark21 測(cè)評(píng)項(xiàng)目概述 1 HYPERLINK l _bookmark22 測(cè)評(píng)目的 1 HYPERLINK l _bookmark23 測(cè)評(píng)依據(jù) 1 HYPERLINK l _bookmark24 依據(jù)標(biāo)準(zhǔn)和規(guī)范 1 HYPERLINK l _bookmark25 參考標(biāo)準(zhǔn)和規(guī)范 1 HYPERLINK l _bookmark26 術(shù)語(yǔ)和縮略語(yǔ) 1 HYPERLINK l _bookmark27 測(cè)評(píng)過(guò)程 1 HYPERLINK l _bookmark28 測(cè)評(píng)準(zhǔn)備階段 2 HYPERLINK l _bookmark31 方案編制階段 3 HYPER

32、LINK l _bookmark32 現(xiàn)場(chǎng)測(cè)評(píng)階段 3 HYPERLINK l _bookmark33 分析與報(bào)告編制階段 3 HYPERLINK l _bookmark34 報(bào)告分發(fā)范圍 4 HYPERLINK l _bookmark35 被測(cè)系統(tǒng)情況 5 HYPERLINK l _bookmark36 承載的業(yè)務(wù)情況 5 HYPERLINK l _bookmark37 網(wǎng)絡(luò)拓?fù)鋱D及描述 5 HYPERLINK l _bookmark38 密碼應(yīng)用情況 5 HYPERLINK l _bookmark39 物理和環(huán)境安全密碼應(yīng)用情況 5 HYPERLINK l _bookmark40 網(wǎng)絡(luò)和通

33、信安全密碼應(yīng)用情況 5 HYPERLINK l _bookmark41 設(shè)備和計(jì)算安全密碼應(yīng)用情況 5 HYPERLINK l _bookmark42 應(yīng)用和數(shù)據(jù)安全密碼應(yīng)用情況 5 HYPERLINK l _bookmark43 系統(tǒng)資產(chǎn) 5 HYPERLINK l _bookmark44 物理環(huán)境 5 HYPERLINK l _bookmark45 物理安防設(shè)施 6 HYPERLINK l _bookmark46 密碼產(chǎn)品 6 HYPERLINK l _bookmark47 服務(wù)器/存儲(chǔ)設(shè)備 6 HYPERLINK l _bookmark48 網(wǎng)絡(luò)及安全設(shè)備 6 HYPERLINK l _

34、bookmark49 數(shù)據(jù)庫(kù)管理系統(tǒng) 7 HYPERLINK l _bookmark50 關(guān)鍵業(yè)務(wù)應(yīng)用 7 HYPERLINK l _bookmark51 重要數(shù)據(jù) 7 HYPERLINK l _bookmark52 安全管理文檔 8 HYPERLINK l _bookmark53 人員 8 HYPERLINK l _bookmark54 密碼服務(wù) 8 HYPERLINK l _bookmark55 安全威脅 8 HYPERLINK l _bookmark56 前次測(cè)評(píng)情況 10 HYPERLINK l _bookmark57 測(cè)評(píng)范圍與方法 11 HYPERLINK l _bookmark5

35、8 測(cè)評(píng)指標(biāo) 11 HYPERLINK l _bookmark59 基本指標(biāo) 11 HYPERLINK l _bookmark61 特殊指標(biāo) 14 HYPERLINK l _bookmark62 不適用指標(biāo) 14 HYPERLINK l _bookmark64 測(cè)評(píng)方法及工具 14 HYPERLINK l _bookmark65 現(xiàn)場(chǎng)測(cè)評(píng)方法 14 HYPERLINK l _bookmark66 測(cè)評(píng)工具 15 HYPERLINK l _bookmark68 測(cè)評(píng)工具檢查點(diǎn) 15 HYPERLINK l _bookmark69 測(cè)評(píng)對(duì)象和對(duì)應(yīng)測(cè)評(píng)方式 15 HYPERLINK l _bookm

36、ark70 測(cè)評(píng)對(duì)象確定方法 15 HYPERLINK l _bookmark71 測(cè)評(píng)對(duì)象確定結(jié)果 15 HYPERLINK l _bookmark72 單元測(cè)評(píng) 19 HYPERLINK l _bookmark73 密碼技術(shù)應(yīng)用要求 19 HYPERLINK l _bookmark74 物理和環(huán)境安全 19 HYPERLINK l _bookmark76 網(wǎng)絡(luò)和通信安全 19 HYPERLINK l _bookmark78 設(shè)備和計(jì)算安全 20 HYPERLINK l _bookmark80 應(yīng)用和數(shù)據(jù)安全 20 HYPERLINK l _bookmark85 安全管理 22 HYPERL

37、INK l _bookmark86 管理制度 22 HYPERLINK l _bookmark88 人員管理 23 HYPERLINK l _bookmark90 建設(shè)運(yùn)行 24 HYPERLINK l _bookmark92 應(yīng)急處置 25 HYPERLINK l _bookmark94 整體測(cè)評(píng) 26 HYPERLINK l _bookmark95 測(cè)評(píng)結(jié)果修正 26 HYPERLINK l _bookmark96 整體測(cè)評(píng)結(jié)果和量化評(píng)估 26 HYPERLINK l _bookmark98 風(fēng)險(xiǎn)分析 29 HYPERLINK l _bookmark100 評(píng)估結(jié)論 30 HYPERLIN

38、K l _bookmark101 附錄 A 測(cè)評(píng)結(jié)果記錄 31 HYPERLINK l _bookmark102 物理和環(huán)境安全 31 HYPERLINK l _bookmark103 網(wǎng)絡(luò)和通信安全 33 HYPERLINK l _bookmark104 設(shè)備和計(jì)算安全 35 HYPERLINK l _bookmark105 應(yīng)用和數(shù)據(jù)安全 37 HYPERLINK l _bookmark106 管理制度 43 HYPERLINK l _bookmark107 人員管理 44 HYPERLINK l _bookmark108 建設(shè)運(yùn)行 45 HYPERLINK l _bookmark109

39、應(yīng)急處置 48測(cè)評(píng)項(xiàng)目概述測(cè)評(píng)目的密評(píng)機(jī)構(gòu)受被測(cè)單位的委托，于 XX 年 XX 月 XX 日至 XX 年 XX 月 XX 日，依據(jù) GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求的第X級(jí)別要求，對(duì)被測(cè)單位的 XXXXX 系統(tǒng)從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置等方面進(jìn)行商用密碼應(yīng)用安全性評(píng)估，通過(guò)測(cè)評(píng)項(xiàng)目的實(shí)施，根據(jù)被測(cè)信息系統(tǒng)當(dāng)前的安全狀況，給出測(cè)評(píng)結(jié)果并提出改進(jìn)建議，以確保被測(cè)信息系統(tǒng)達(dá)到 GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求的要求，也為其信息資產(chǎn)安全和業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行提供

40、保障。測(cè)評(píng)依據(jù)依據(jù)標(biāo)準(zhǔn)和規(guī)范GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求GM/T 01152021信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求GM/T 01162021信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則XXXXX 系統(tǒng)密碼應(yīng)用方案（如有）參考標(biāo)準(zhǔn)和規(guī)范被測(cè)信息系統(tǒng)專用的標(biāo)準(zhǔn)（如 CA 系統(tǒng)所要參考的 GM/T 0034 等標(biāo)準(zhǔn)，金融IC 卡信息系統(tǒng)所要參考的 PBOC 等標(biāo)準(zhǔn)）術(shù)語(yǔ)和縮略語(yǔ)測(cè)評(píng)過(guò)程商用密碼應(yīng)用安全性評(píng)估過(guò)程分為四個(gè)基本測(cè)評(píng)活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)。測(cè)評(píng)雙方之間的溝通與洽談貫 H

41、YPERLINK l _bookmark29 穿整個(gè)密碼應(yīng)用安全性評(píng)估過(guò)程。測(cè)評(píng)工作流程如圖 1-1 所示。評(píng)估結(jié)論形成風(fēng)險(xiǎn)分析量化評(píng)估整體測(cè)評(píng)單元測(cè)評(píng)結(jié)果確認(rèn)和資料歸還現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備密評(píng)方案編制測(cè)評(píng)內(nèi)容確定測(cè)評(píng)檢查點(diǎn)確定信息收集和分析項(xiàng)目啟動(dòng)密評(píng)報(bào)告編制測(cè)評(píng)指標(biāo)確定測(cè)評(píng)對(duì)象確定工具和表單準(zhǔn)備測(cè)評(píng)準(zhǔn)備活動(dòng)方案編制活動(dòng)溝通與洽談現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)分 析 與 動(dòng)報(bào)告編制活測(cè)評(píng)準(zhǔn)備階段圖 1-1 測(cè)評(píng)工作流程根據(jù)測(cè)評(píng)雙方簽訂的委托測(cè)評(píng)協(xié)議書和被測(cè)信息系統(tǒng)規(guī)模，密評(píng)機(jī)構(gòu)組建測(cè) 評(píng)項(xiàng)目組，從人員方面做好準(zhǔn)備，并編制項(xiàng)目計(jì)劃書。密評(píng)機(jī)構(gòu)通過(guò)查閱被測(cè)系 統(tǒng)已有資料并使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)

42、的構(gòu)成和密碼保護(hù)情況，為編 寫密評(píng)方案和開展現(xiàn)場(chǎng)測(cè)評(píng)工作奠定基礎(chǔ)。測(cè)評(píng)項(xiàng)目組成員在進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)之前，熟悉與被測(cè)信息系統(tǒng)相關(guān)的各種組件、調(diào)試測(cè)評(píng)工具、準(zhǔn)備各種表單等。測(cè)評(píng)準(zhǔn)備階段時(shí)間：XX 年 XX 月 XX 日- XX 年 XX 月 XX 日。 HYPERLINK l _bookmark30 測(cè)評(píng)項(xiàng)目組成員如表 1-1 所示：表 1-1 測(cè)評(píng)項(xiàng)目組成員角色姓名任務(wù)分工項(xiàng)目負(fù)責(zé)人測(cè)評(píng)項(xiàng)目組成員方案編制階段根據(jù)已經(jīng)了解到的被測(cè)信息系統(tǒng)情況，分析整個(gè)被測(cè)系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，以及與此相關(guān)的密碼應(yīng)用情況，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象；根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出本次測(cè)評(píng)的測(cè)評(píng)指標(biāo)；確認(rèn)測(cè)

43、評(píng)過(guò)程中需要現(xiàn)場(chǎng)檢查的關(guān)鍵安全點(diǎn)，并且充分考慮到檢查的可行性和風(fēng)險(xiǎn)，最大限度的避免對(duì)被測(cè)系統(tǒng)，尤其是在線運(yùn)行業(yè)務(wù)系統(tǒng)的影響；確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施內(nèi)容；最終完成測(cè)評(píng)方案的編制。方案編制階段時(shí)間：XX 年 XX 月 XX 日- XX 年 XX 月 XX 日。現(xiàn)場(chǎng)測(cè)評(píng)階段現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備：召開測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì)，密評(píng)機(jī)構(gòu)介紹測(cè)評(píng)工作，交流測(cè)評(píng)信息，進(jìn)一步明確測(cè)評(píng)計(jì)劃和測(cè)評(píng)方案中的內(nèi)容，說(shuō)明測(cè)評(píng)過(guò)程中具體的實(shí)施工作內(nèi)容，測(cè)評(píng)時(shí)間安排，測(cè)評(píng)過(guò)程中可能存在的安全風(fēng)險(xiǎn)等，以便于后面的測(cè)評(píng)工作開展。測(cè)評(píng)雙方確認(rèn)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源，包括被測(cè)單位的配合人員和需要提供的測(cè)評(píng)條件等，確認(rèn)被測(cè)信息系統(tǒng)已備份過(guò)系統(tǒng)及數(shù)據(jù)。

44、被測(cè)單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書。密評(píng)人員根據(jù)會(huì)議溝通結(jié)果，對(duì)測(cè)評(píng)結(jié)果記錄表單和測(cè)評(píng)程序進(jìn)行必要的更新。測(cè)評(píng)項(xiàng)目組根據(jù)密評(píng)方案以及現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備的結(jié)果，安排密評(píng)人員在現(xiàn)場(chǎng)完 成測(cè)評(píng)工作，匯總現(xiàn)場(chǎng)測(cè)評(píng)的測(cè)評(píng)記錄；召開測(cè)評(píng)現(xiàn)場(chǎng)結(jié)束會(huì)，測(cè)評(píng)雙方對(duì)測(cè)評(píng) 過(guò)程中發(fā)現(xiàn)的問(wèn)題進(jìn)行現(xiàn)場(chǎng)確認(rèn)；密評(píng)機(jī)構(gòu)歸還測(cè)評(píng)過(guò)程中借閱的所有文檔資料，并由被測(cè)單位文檔資料提供者簽字確認(rèn)。現(xiàn)場(chǎng)測(cè)評(píng)階段時(shí)間：XX 年 XX 月 XX 日- XX 年 XX 月 XX 日。分析與報(bào)告編制階段在現(xiàn)場(chǎng)測(cè)評(píng)工作結(jié)束后，密評(píng)機(jī)構(gòu)對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得的測(cè)評(píng)結(jié)果進(jìn)行匯總分析，形成評(píng)估結(jié)論，并編制評(píng)估報(bào)告。密評(píng)人員在初步判定各測(cè)評(píng)單元涉及的各個(gè)測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果后

45、，還需進(jìn)行單元測(cè)評(píng)、整體測(cè)評(píng)、量化評(píng)估和風(fēng)險(xiǎn)分析。經(jīng)過(guò)整體測(cè)評(píng)后，有的測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果可能會(huì)有所變化，需進(jìn)一步修訂測(cè)評(píng)結(jié)果，而后進(jìn)行量化評(píng)估和風(fēng)險(xiǎn)分析，最后形成評(píng)估結(jié)論。分析與報(bào)告編制階段時(shí)間：XX 年 XX 月 XX 日- XX 年 XX 月 XX 日。報(bào)告分發(fā)范圍本報(bào)告一式 X 份，其中 X 份提交密碼管理部門，X 份提交被測(cè)單位，X 份由密評(píng)機(jī)構(gòu)留存。被測(cè)系統(tǒng)情況承載的業(yè)務(wù)情況主要介紹信息系統(tǒng)承載的業(yè)務(wù)情況，重點(diǎn)說(shuō)明業(yè)務(wù)的密碼應(yīng)用需求，具體的寫法可以參考商用密碼應(yīng)用與安全性評(píng)估第五章網(wǎng)絡(luò)拓?fù)鋱D及描述主要介紹信息系統(tǒng)的完整網(wǎng)絡(luò)拓?fù)?，方便了解信息系統(tǒng)邊界、資產(chǎn)等基本情況，具體的寫法可以參考

46、商用密碼應(yīng)用與安全性評(píng)估第五章密碼應(yīng)用情況物理和環(huán)境安全密碼應(yīng)用情況介紹物理和環(huán)境安全層面密碼應(yīng)用的大致情況。考慮到該層面的密碼應(yīng)用流程和密鑰管理主要由密碼產(chǎn)品完成，且與信息系統(tǒng)承載的業(yè)務(wù)關(guān)聯(lián)性較低，因此可以主要圍繞所使用的密碼產(chǎn)品展開介紹網(wǎng)絡(luò)和通信安全密碼應(yīng)用情況介紹網(wǎng)絡(luò)和通信安全層面密碼應(yīng)用的大致情況。考慮到該層面的密碼應(yīng)用流程和密鑰管理主要由 VPN 等密碼產(chǎn)品完成，因此可以主要圍繞所使用的密碼產(chǎn)品展開介紹設(shè)備和計(jì)算安全密碼應(yīng)用情況介紹設(shè)備和計(jì)算安全層面密碼應(yīng)用的大致情況。考慮到該層面的密碼應(yīng)用流程和密鑰管理主要由密碼產(chǎn)品完成，且與信息系統(tǒng)承載的業(yè)務(wù)關(guān)聯(lián)性較低，因此可以主要圍繞所使用的密

47、碼產(chǎn)品展開介紹應(yīng)用和數(shù)據(jù)安全密碼應(yīng)用情況詳細(xì)介紹應(yīng)用和數(shù)據(jù)安全層面的密碼應(yīng)用情況。這部分是重點(diǎn)，與信息系 統(tǒng)承載的業(yè)務(wù)息息相關(guān)，建議分為密碼應(yīng)用工作流程和密鑰體系兩方面分別介紹。具體的寫法可以參考商用密碼應(yīng)用與安全性評(píng)估第五章系統(tǒng)資產(chǎn)物理環(huán)境表 2-1 物理環(huán)境序號(hào)物理環(huán)境名稱物理位置重要程度1物理安防設(shè)施表 2-2 物理安防設(shè)施序號(hào) 產(chǎn)品名稱 生產(chǎn)廠商和型號(hào) 所在物理環(huán)境名稱 重要程度 1 2 密碼產(chǎn)品表 2-3 密碼產(chǎn)品序號(hào)產(chǎn)品名稱生產(chǎn)廠商商密產(chǎn)品認(rèn)證證書編號(hào)使用的密碼算法數(shù)量用途1234服務(wù)器/存儲(chǔ)設(shè)備表 2-4 服務(wù)器/存儲(chǔ)設(shè)備序號(hào)設(shè)備名稱生產(chǎn)廠商型號(hào)操作系統(tǒng)版本是否為虛擬設(shè)備用途數(shù)量

48、重要程度123網(wǎng)絡(luò)及安全設(shè)備表 2-5 網(wǎng)絡(luò)及安全設(shè)備序號(hào)設(shè)備名稱生產(chǎn)廠商型號(hào)用途（包括涉及的密碼技術(shù)）數(shù)量重要程度12345數(shù)據(jù)庫(kù)管理系統(tǒng)表 2-6 數(shù)據(jù)庫(kù)管理系統(tǒng)序號(hào)數(shù)據(jù)庫(kù)管理系統(tǒng)名稱版本部署位置主要功能重要程度12345關(guān)鍵業(yè)務(wù)應(yīng)用表 2-7 關(guān)鍵業(yè)務(wù)應(yīng)用序號(hào)應(yīng)用名稱版本部署位置主要功能12345重要數(shù)據(jù)表 2-8 重要數(shù)據(jù)序號(hào)數(shù)據(jù)描述所屬應(yīng)用存儲(chǔ)位置安全需求1機(jī)密性/真實(shí)性/完整性23安全管理文檔表 2-9 安全管理文檔序號(hào)文檔名稱主要內(nèi)容123人員表 2-10 人員序號(hào)姓名崗位/角色職責(zé)說(shuō)明聯(lián)系方式123密碼服務(wù)表 2-11 密碼服務(wù)序號(hào)密碼服務(wù)名稱密碼服務(wù)提供商12安全威脅表 2-

49、12 安全威脅序號(hào)威脅類別威脅分類TP1物理和環(huán)境非法人員進(jìn)入物理環(huán)境，對(duì)軟硬件設(shè)備和數(shù)據(jù)進(jìn)行直接破壞TP2物理進(jìn)出記錄和視頻記錄遭到篡改，以掩蓋非法人員進(jìn)出情況TN1網(wǎng)絡(luò)和通信非法通信實(shí)體接入網(wǎng)絡(luò)TN2通信數(shù)據(jù)在信息系統(tǒng)外部被非授權(quán)的截取、篡改TN3非法設(shè)備從外部接入內(nèi)部網(wǎng)絡(luò)，或網(wǎng)絡(luò)邊界被破壞TD1設(shè)備和計(jì)算設(shè)備被非法人員登錄TD2搭建的遠(yuǎn)程管理通道被非法使用，或傳輸?shù)墓芾頂?shù)據(jù)被非授權(quán)獲取和篡改TD3設(shè)備資源被登錄設(shè)備的其他用戶獲取TD4重要信息資源安全標(biāo)記被非授權(quán)獲取和篡改TD5設(shè)備日志記錄被非法篡改，以掩蓋非法操作TD6設(shè)備內(nèi)重要程序和文件的來(lái)源不可信TA1應(yīng)用和數(shù)據(jù)應(yīng)用被非法人員登錄T

50、A2應(yīng)用資源被登錄應(yīng)用的其他用戶獲取TA3重要信息資源安全標(biāo)記被非授權(quán)獲取和篡改TA4傳輸或存儲(chǔ)的數(shù)據(jù)被外部攻擊者非法獲取TA5某個(gè)應(yīng)用傳輸或存儲(chǔ)的數(shù)據(jù)被其他應(yīng)用獲取TA6應(yīng)用日志記錄被非法篡改，以掩蓋非法操作TA7應(yīng)用程序、重要應(yīng)用配置等重要信息被非法修改TA8數(shù)據(jù)發(fā)送者或接收者不承認(rèn)發(fā)送或接受到數(shù)據(jù)，或者否認(rèn)所做的操作和交易TK1密鑰管理和安全管理生成的密鑰缺少隨機(jī)性，被攻擊者猜測(cè)TK2密鑰被非法獲取TK3密鑰被非法篡改，或密鑰與實(shí)體之間的關(guān)聯(lián)關(guān)系被非法篡改TK4密鑰被非法使用TK5密鑰備份和歸檔機(jī)制不健全，導(dǎo)致密鑰泄露，或密鑰被恢復(fù)到非法的設(shè)備中TK6密鑰銷毀不及時(shí)導(dǎo)致密鑰泄露，或銷毀的

51、密鑰被惡意恢復(fù)TK7安全管理制度和密鑰管理策略等不完善，管理流程不健全，執(zhí)行不到位，職責(zé)不明確，導(dǎo)致密鑰泄露、數(shù)據(jù)泄露等風(fēng)險(xiǎn)前次測(cè)評(píng)情況本次測(cè)評(píng)是被測(cè)信息系統(tǒng)進(jìn)行的第 次商用密碼應(yīng)用安全性評(píng)估，上次評(píng)估時(shí)間為 年 月 日，評(píng)估結(jié)論為： 。測(cè)評(píng)范圍與方法測(cè)評(píng)指標(biāo)基本指標(biāo)根據(jù)被測(cè)信息系統(tǒng)密碼應(yīng)用安全要求等級(jí)，選擇 GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求中對(duì)應(yīng)級(jí)別的安全要求作為本次測(cè)評(píng)工作 HYPERLINK l _bookmark60 的基本指標(biāo)，在表 3-1 中列出指標(biāo)。表 3-1GB/T 39786 2021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求第三級(jí)別要求基本指標(biāo)

52、測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)描述應(yīng)用要求技術(shù)要求物理和環(huán)境安全身份鑒別8.1 a）宜采用密碼技術(shù)進(jìn)行物理訪問(wèn)身份鑒別，保證重要區(qū)域進(jìn)入人員身份的真實(shí)性；宜電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性8.1 b）宜采用密碼技術(shù)保證電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)的存儲(chǔ)完整性；宜視頻監(jiān)控記錄數(shù)據(jù)存儲(chǔ)完整性8.1 c）宜采用密碼技術(shù)保證視頻監(jiān)控音像記錄數(shù)據(jù)的存儲(chǔ)完整性。宜網(wǎng)絡(luò)和通信安全身份鑒別8.2 a）應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行身份鑒別，保證通信實(shí)體身份的真實(shí)性；應(yīng)通信數(shù)據(jù)完整性8.2 b)宜采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；宜通信過(guò)程中重要數(shù)據(jù)的機(jī)密性8.2 c) 應(yīng)采用密碼技術(shù)保證通信過(guò)程中重要數(shù)據(jù)的機(jī)密性；應(yīng)網(wǎng)絡(luò)邊界訪問(wèn)

53、控制信息的完整性8.2 d)宜采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問(wèn)控制信息的完整性；宜安全接入認(rèn)證8.2 e)可采用密碼技術(shù)對(duì)從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證，確保接入的設(shè)備身份真實(shí)性?？稍O(shè)備和計(jì)算安全身份鑒別8.3 a)應(yīng)采用密碼技術(shù)對(duì)登錄設(shè)備的用戶進(jìn)行身份鑒別，保證用戶身份的真實(shí)性；應(yīng)遠(yuǎn)程管理通道安全8.3 b)遠(yuǎn)程管理設(shè)備時(shí)，應(yīng)采用密碼技術(shù)建立安全的信息傳輸通道；應(yīng)系統(tǒng)資源訪問(wèn)控制信息完整性8.3 c)宜采用密碼技術(shù)保證系統(tǒng)資源訪問(wèn)控制信息的完整性；宜重要信息資源安8.3 d)宜采用密碼技術(shù)保證設(shè)備中的重要信息資源安宜全標(biāo)記完整性全標(biāo)記的完整性；日志記錄完整性8.3 e)宜采用密碼技術(shù)保證

54、日志記錄的完整性；宜重要可執(zhí)行程序完整性、重要可執(zhí)行程序來(lái)源真實(shí)性8.3 f)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù)，并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證。宜應(yīng)用和數(shù)據(jù)安全身份鑒別8.4 a)應(yīng)采用密碼技術(shù)對(duì)登錄用戶進(jìn)行身份鑒別，保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性；應(yīng)訪問(wèn)控制信息完整性8.4 b)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的訪問(wèn)控制信息的完整性；宜重要信息資源安全標(biāo)記完整性8.4 c)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要信息資源安全標(biāo)記的完整性；宜重要數(shù)據(jù)傳輸機(jī)密性8.4 d)應(yīng)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性；應(yīng)重要數(shù)據(jù)存儲(chǔ)機(jī)密性8.4 e)應(yīng)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的

55、重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的機(jī)密性；應(yīng)重要數(shù)據(jù)傳輸完整性8.4 f)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過(guò)程中的完整性；宜重要數(shù)據(jù)存儲(chǔ)完整性8.4 g)宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性；宜不可否認(rèn)性8.4 h)在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中，宜采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性。宜管理要求管理制度具備密碼應(yīng)用安全管理制度8.5 a）應(yīng)具備密碼應(yīng)用安全管理制度，包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)急處置、密碼軟硬件及介質(zhì)管理等制度；應(yīng)密鑰管理規(guī)則8.5 b）應(yīng)根據(jù)密碼應(yīng)用方案建立相應(yīng)密鑰管理規(guī)則；

56、應(yīng)建立操作規(guī)程8.5 c）應(yīng)對(duì)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；應(yīng)定期修訂安全管理制度8.5 d）應(yīng)定期對(duì)密碼應(yīng)用安全管理制度和操作規(guī)程的合理性和適用性進(jìn)行論證和審定，對(duì)存在不足或需要改進(jìn)之處進(jìn)行修訂；應(yīng)明確管理制度發(fā)布流程8.5 e）應(yīng)明確相關(guān)密碼應(yīng)用安全管理制度和操作規(guī)程的發(fā)布流程并進(jìn)行版本控制；應(yīng)制度執(zhí)行過(guò)程記8.5 f）應(yīng)具有密碼應(yīng)用操作規(guī)程的相關(guān)執(zhí)行記錄并妥應(yīng)錄留存善保存。人員管理了解并遵守密碼相關(guān)法律法規(guī)和密碼管理制度8.6 a）相關(guān)人員應(yīng)了解并遵守密碼相關(guān)法律法規(guī)、密碼應(yīng)用安全管理制度；應(yīng)建立密碼應(yīng)用崗位責(zé)任制度8.6 b)應(yīng)建立密碼應(yīng)用崗位責(zé)任制度，明確各崗位在

57、安全系統(tǒng)中的職責(zé)和權(quán)限：根據(jù)密碼應(yīng)用的實(shí)際情況，設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位；對(duì)關(guān)鍵崗位建立多人共管機(jī)制；密鑰管理、密碼安全審計(jì)、密碼操作人員職責(zé)互相制約互相監(jiān)督，其中密鑰管理員崗位不可與密碼審計(jì)員、密碼操作員等關(guān)鍵安全崗位兼任；相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)不得多人共用。應(yīng)建立上崗人員培訓(xùn)制度8.6 c) 應(yīng)建立上崗人員培訓(xùn)制度，對(duì)于涉及密碼的操作和管理的人員進(jìn)行專門培訓(xùn)，確保其具備崗位所需專業(yè)技能；應(yīng)定期進(jìn)行安全崗位人員考核8.6 d) 應(yīng)定期對(duì)密碼應(yīng)用安全崗位人員進(jìn)行考核；應(yīng)建立關(guān)鍵崗位人員保密制度和調(diào)離制度8.6 e)應(yīng)建立關(guān)鍵人員保密制度和調(diào)離制度，簽訂保

58、密合同，承擔(dān)保密義務(wù)。應(yīng)建設(shè)運(yùn)行制定密碼應(yīng)用方案8.7 a）應(yīng)依據(jù)密碼相關(guān)標(biāo)準(zhǔn)和密碼應(yīng)用需求，制定密碼應(yīng)用方案；應(yīng)制定密鑰安全管理策略8.7 b）應(yīng)根據(jù)密碼應(yīng)用方案，確定系統(tǒng)涉及的密鑰種類、體系及其生命周期環(huán)節(jié)，各環(huán)節(jié)安全管理要求參照信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求附錄 B；應(yīng)制定實(shí)施方案8.7 c）應(yīng)按照應(yīng)用方案實(shí)施建設(shè)；應(yīng)投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評(píng)估8.7 d）投入運(yùn)行前應(yīng)進(jìn)行密碼應(yīng)用安全性評(píng)估，評(píng)估通過(guò)后系統(tǒng)方可正式運(yùn)行；應(yīng)定期開展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí)8.7 e）在運(yùn)行過(guò)程中，應(yīng)嚴(yán)格執(zhí)行既定的密碼應(yīng)用安全管理制度，應(yīng)定期開展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí)，并根據(jù)評(píng)

59、估結(jié)果進(jìn)行整改。應(yīng)應(yīng)急處應(yīng)急策略8.8 a）應(yīng)制定密碼應(yīng)用應(yīng)急策略，做好應(yīng)急資源準(zhǔn)備，應(yīng)置當(dāng)密碼應(yīng)用安全事件發(fā)生時(shí)，應(yīng)立即啟動(dòng)應(yīng)急處置措施，結(jié)合實(shí)際情況及時(shí)處置；事件處置8.8 b）事件發(fā)生后，應(yīng)及時(shí)向信息系統(tǒng)主管部門進(jìn)行報(bào)告；應(yīng)向有關(guān)主管部門上報(bào)處置情況8.8 c）事件處置完成后，應(yīng)及時(shí)向信息系統(tǒng)主管部門及歸屬的密碼管理部門報(bào)告事件發(fā)生情況及處置情況。應(yīng)測(cè)評(píng)指標(biāo)合計(jì)41 項(xiàng)特殊指標(biāo)結(jié)合被測(cè)評(píng)單位要求、被測(cè)系統(tǒng)的實(shí)際安全需求以及安全最佳實(shí)踐經(jīng)驗(yàn)，以列表形式給出 GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求未覆蓋（如行業(yè)標(biāo)準(zhǔn)）或者高于 GB/T 397862021信息安全技

60、術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求中被測(cè)系統(tǒng)相應(yīng)等級(jí)的安全要求，其中標(biāo)準(zhǔn)需要在 1.2.2 中寫明不適用指標(biāo)鑒于信息系統(tǒng)的復(fù)雜性和特殊性，GB/T 397862021信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求的第X級(jí)要求中的個(gè)別項(xiàng)可能不適用于被測(cè)信息系統(tǒng)， HYPERLINK l _bookmark63 對(duì)于這些不適用項(xiàng)及其不適用原因如表 3-2 所示：表 3-2 不適用指標(biāo)及說(shuō)明安全層面測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)描述不適用原因物理和環(huán)境網(wǎng)絡(luò)和通信設(shè)備和計(jì)算不適用項(xiàng)合計(jì)測(cè)評(píng)方法及工具現(xiàn)場(chǎng)測(cè)評(píng)方法本次商用密碼應(yīng)用安全性評(píng)估使用的測(cè)評(píng)方法包括：訪談：通過(guò)與被測(cè)單位的相關(guān)人員進(jìn)行交談和問(wèn)詢，了解被測(cè)信息系統(tǒng)技術(shù)和管理方