报告编号：{} XXXXX 系统 商用密码应用安全性评估报告 被测单位： 密评机构： 报告时间： 声 明 本报告是 XXXXX 系统的商用密码应用安全性评估报告，报告模板 为 2023 年版。 本报告评估结论的有效性建立在被测单位提供相关证据的真实性 基础之上。 本报告中给出的评估结论仅对被测信息系统当时的安全状态有效。 被测信息系统发生变更后，应重新对其进行评估，本报告不再适用。 本报告中给出的评估结论不能作为对被测信息系统内部署的相关 系统构成组件（或产品）的评估结论。 在任何情况下，若需引用本报告中的评估结果或结论都应保持其原 有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。 {密评机构名称}（盖章） 年 月 日 {被测系统名称}商用密码应用安全性评估报告 被测信息系统基本信息表 被测单位 单位名称 单位地址 邮政编码 所属省部密码 管理部门 联系人 姓名 职务/职称 所属部门 办公电话 移动电话 电子邮件 被测信息系统 系统名称 是否为关键信 息基础设施 □已认定，所属安全保护工作部门： □未认定 □已定级备案，第 网络安全等级 保护定级和备 案情况 级（一至四），S A G 备案证明编号： 本次被测信息系统与等级保护定级系统是否一致： □是 □否，变化情况说明： □未定级，本次密评依据 GB/T 39786—2021《信息安全技术 信息系统密码 应用基本要求》第 网络安全等级 测评情况 级（一至四）信息系统要求 □已测评 □正在测评 测评机构名称： 测评机构名称： □未测评 测评时间： 测评结论： □全国 服务范围 □跨省（区、市）跨 □全省（区、市） □跨地（市、区）跨 □地（市、区）内 □其他 □电信 海关 系统服务情况 □广电 □税务 防科技工业 服务领域 个 审计 □经营性公众互联网 □民航 □公安 □商业贸易 □工商行政管理 □电力 个 □铁路 □证券 □保险 □邮政 □能源 □教育 □文化 服务对象 系统网络平台 □单位内部人员 □社会公众人员 □两者均包括□其他 覆盖范围 □局域网 □城域网 □广域网 □其他 网络性质 □业务专网 □互联网 □其他 -I- □ □交通 □统计 □卫生 □农业 □水利 □外交 □发展改革 □科技 □宣传 □其他 □ □国 □财政 □人事劳动和社会保障 □国土资源 □质量监督检验检疫 □银行 {报告编号} 系统服务用户 数量 系统是否已投 入运行 大概数量级/被测系统处于建设阶段 □是，投入运行时间： 年 □否，目前情况：____________ □与其他行业系统连接 系统互联情况 月 □与本行业其他单位系统连接 □与本单位其他系统连接 □其他 互联系统名称： 系统是否依赖 不在本系统范 □云平台已评估 □云平台正在评估 □云平台未评估 □是，云平台名称： 密评机构名称： 评估时间： 围内的云平台 运行 评估结论： □否 □有密码应用方案，且通过密评，通过时间： 系统是否具有 密评方式：□自行评估 □委托密评机构评估，密评机构名称： 密码应用方案 □有密码应用方案，但未通过密评 □无密码应用方案 □系统使用的密码产品（台／套），独立使用（台／套），共享使用（台／套）； 系统使用的密 码产品情况 其中，取得认证证书的产品数量台／套，未取得认证证书的国内产品数量 （台／套） ，国外产品数量（台／套） 。 □系统未使用密码产品 分组算法：□SM1 □SM4 □SM7 □AES □DES □3DES □其他 非对称算法：□SM2 □SM9 □RSA1024 □RSA2048 □其他 系统使用的密 码算法 杂凑算法：□SM3 □SHA-1 □SHA-256 □SHA-384 □SHA-512 □MD5 □其他 序列算法：□ZUC □其他 其他算法： 密评机构 单位名称 通信地址 联系人 审核批准 邮政编码 姓名 职务/职称 所属部门 办公电话 移动电话 电子邮件 编制人 （签字） 编制日期 审核人 （签字） 审核日期 批准人 （签字） 批准日期 -II- {被测系统名称}商用密码应用安全性评估报告 商用密码应用安全性评估结论 系统名称 系统简介 测评情况简介 评估结论 （简要描述测评范围和主要内容。建议不超过 200 字。） {符合/基本符合/不符 综合得分 合} 不适用项数目/ 总测评指标项 {X/Y} 高风险项数目 数目 -III- {报告编号} 总体评价 本次信息系统商用密码应用安全性评估依据 GB/T 39786—2021《信息安全 技术 信息系统密码应用基本要求》的第{X}级别要求，选取的测评指标总数为 XXX 项，其中不适用项为 XXX 项，特殊指标 XXX 项。测评结果为：符合项 XXX 项，部分符合项 XXX 项，不符合项 XXX 项。其中，在部分符合和不符合 项中：高风险项 XXX 项，中风险项 XXX 项，低风险项 XXX 项。 1. 在物理和环境安全方面，XXX 测评结果：符合项 XX 项，部分符合项 XX 项，不符合项 XX 项，不适用 项 XX 项。 2. 在网络和通信安全方面，XXX 测评结果：符合项 XX 项，部分符合项 XX 项，不符合项 XX 项，不适用 项 XX 项。 3. 在设备和计算安全方面，XXX 测评结果：符合项 XX 项，部分符合项 XX 项，不符合项 XX 项，不适用 项 XX 项。 4. 在应用和数据安全方面，XXX 测评结果：符合项 XX 项，部分符合项 XX 项，不符合项 XX 项，不适用 项 XX 项。 5. 在管理制度方面，XXX 测评结果：符合项 XX 项，部分符合项 XX 项，不符合项 XX 项，不适用 项 XX 项。 6. 在人员管理方面，XXX 测评结果：符合项 XX 项，部分符合项 XX 项，不符合项 XX 项，不适用 项 XX 项。 7. 在建设运行方面，XXX -IV- {被测系统名称}商用密码应用安全性评估报告 测评结果：符合项 XX 项，部分符合项 XX 项，不符合项 XX 项，不适用 项 XX 项。 8. 在应急处置方面，XXX 测评结果：符合项 XX 项，部分符合项 XX 项，不符合项 XX 项，不适用 项 XX 项。 通过对 XXXXX 系统的物理和环境安全、网络和通信安全、设备和计算安 全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面的测 评，该系统{符合/基本符合/不符合}GB/T 39786—2021《信息安全技术 信息系 统密码应用基本要求》的第{X}级别要求。 -V- {被测系统名称}商用密码应用安全性评估报告 安全问题及改进建议 本次信息系统商用密码应用安全性评估依据 GB/T 39786—2021《信息安全 技术 信息系统密码应用基本要求》的第{X}级别要求，发现被测信息系统存在以 下安全问题。建议被测信息系统根据实际情况和以下给出的建议进行整改。 1. 物理和环境安全 问题描述： 改进建议： 2. 网络和通信安全 问题描述： 改进建议： 3. 设备和计算安全 问题描述： 改进建议： 4. 应用和数据安全 问题描述： 改进建议： 5. 管理制度 问题描述： 改进建议： 6. 人员管理 问题描述： 改进建议： 7. 建设运行 问题描述： 改进建议： 8. 应急处置 问题描述： 改进建议： -VII- {报告编号} 目录 声 明 .............................................................................................................................. I 被测信息系统基本信息表 ............................................................................................ I 商用密码应用安全性评估结论 ................................................................................. III 总体评价 ..................................................................................................................... IV 安全问题及改进建议 ............................................................................................... VII 1 测评项目概述 ........................................................................................................ 1 1.1 测评目的.......................................................................................................... 1 1.2 测评依据.......................................................................................................... 1 1.2.1 依据标准和规范....................................................................................... 1 1.2.2 参考标准和规范....................................................................................... 1 1.2.3 术语和缩略语........................................................................................... 1 1.3 1.3.1 测评准备阶段....................................