商用密码应用安全性评估报告模板(2023版)—方案密评报告.docxVIP

报告编号：{}

《XXX系统密码应用方案》商用密码应用安全性评估报告

委托单位：

密评机构：

报告时间：

声明

本报告是{密评机构名称}针对《XXX系统密码应用方案》给出的商用密码应用安全性评估报告，报告模板为2023年版。

本报告评估结论的有效性建立在委托单位提供相关材料的真实性基础之上。

本报告中给出的评估结论仅对本次评估的《XXX系统密码应用方案》的内容有效。评估工作完成后，当《XXX系统密码应用方案》发生变更时，本报告不再适用。

本报告中给出的评估结论不能作为实际建设或运行系统的评估结论，也不能作为系统构成组件（或产品）的评估结论。

在任何情况下，若需引用本报告中的评估结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

本报告若无签字或机构盖章，均属无效。

{密评机构名称}（盖章）年 月 日

《XXX

《XXX系统密码应用方案》商用密码应用安全性评估报告

{报告编号

{报告编号}

-I-

-I-

-

-IV-

基本信息表

责任单位

单位名称

单位地址

邮政编码

所属省部密码

管理部门

联系人

姓名

职务/职称

所属部门

办公电话

移动电话

电子邮件

信息系统

系统名称

是否为关键信

息基础设施

□已认定，所属安全保护工作部门：

□未认定

网络安全等级保护定级和备案情况

□已定级备案，第 级（一至四），SAG 备案证明编号：

本次被测信息系统与等级保护定级系统是否一致：

□是□否，变化情况说明：

□未定级，本次密评依据GB/T39786-2021《信息安全技术信息系统密

码应用基本要求》第 级（一至四）信息系统要求

网络安全等级测评情况

□已测评

测评机构名称： 测评时间： 测评结论：

□正在测评 测评机构名称：

□未测评

商用密码应用安全性评估情况

□已评估

密评机构名称： 评估时间： 评估结论：

□正在评估 密评机构名称：

□未评估

系统是否依赖不在本系统范围内的云平台

运行

□是，

云平台名称：

□云平台已评估□云平台正在评估□云平台未评估密评机构名称：

评估时间：评估结论：

□否

密评机构

单位名称

通信地址

邮政编码

联系人

姓名

职务/职称

所属部门

办公电话

移动电话

电子邮件

审核批准

编制人

（签字）

编制日期

审核人

（签字）

审核日期

批准人

（签字）

批准日期

商用密码应用安全性评估结论

方案名称

方案简介

{简要描述系统情况，方案重点解决的系统密码应用需求和密码实现等内容。}

评估情况简介

{简要描述方案评估时间、范围、内容和过程（包括方案修改的交互过程，方案最后定稿的时间和版本）等。}

评估结论

{通过/不通过}

不适用指标数目/总指标项数目

{X/Y}

-III-

-III-

-

-IV-

改进建议

{评估结论为不通过时，具体修改意见为针对《XXXX系统密码应用方案》中存在的XXX问题（指出具体章节，具体问题），具体修改建议为XXX，需补充的材料为XXX。}

{评估结论为通过时：无意见/或进一步完善的参考建议意见为XXX。}

目录

声明 I

基本信息表 I

商用密码应用安全性评估结论 II

改进建议 III

系统概述 1

安全控制措施描述及指标适用情况 4

安全控制措施评估结果 9

方案评估结论 12

报告分发范围 13

附录A密评活动有效性证明记录 14

密评委托证明 14

密评活动证明 15

密评活动质量文件 16

密评人员资格证明 17

系统定级匹配证明 18

附：《XXXX系统密码应用方案》 19

《XXX

《XXX系统密码应用方案》商用密码应用安全性评估报告

{报告编号

{报告编号}

-

-

-

-

系统概述

图1系统网络拓扑图

{该部分内容需包含系统网络拓扑、承载的业务情况等内容，梳理系统各安全层面保护对象（汇总到表1中）。}

{系统网络拓扑应结合系统网络拓扑图（图1为示例），说明系统体系架构、

网络所在机房情况（物理机房的个数及其所在具体位置）、网络边界划分、与其他系统的互联关系（网络互联、数据互通等情况）、跨网络访问的通信信道、设备组成及实现功能等内容。承载的业务情况包含系统承载的业务应用、业务功能、应用用户、重要数据以及关键的用户操作行为等。}

表1系统各安全层面保护对象汇总

序号

安全层面

保护对象

1

物理和环境安全

{物理机房1}

2

{物理机房2}

3

……

4

{物理机房n}

5

网络和通信安全

{通信信道1}

6

{