现发布中国密码学会密评联委会修订的《商用密码应用安全性评估报告模板(2023版)》,用于替代2021年12月发布的《商用密码应用安全性评估报告模板(2021版)》,供相关单位参考。
https://ht.cacrnet.org.cn/upload/file/20230120/1674184586946551.zip
《商用密码应用安全性评估报告模板》修改的有关说明
根据前期密评机构提供的意见以及密评结果备案材料形式审查的相关需求,对《商用密码应用安全性评估报告模板》拟做如下修改完善:
一、系统密评报告模板
l进一步规范报告模板格式,包括字体统一、居中显示等
l被测系统基本信息表
a)增加被测系统是否属于关键信息基础设施,以及所属安全保护工作的部门
b)“本次被测信息系统与等级保护定级系统”是否一致这一栏对于未定级的情况无法勾选,调整模板
c)增加系统依赖情况,即是否依赖不在本系统范围内的云平台运行,以及云平台名称和云平台密评情况
d)密码应用方案密评方式:专家评审改为自行评估,其他“评审”字样改为“评估”
l声明中添加“报告模板为2023年版”
l2.7前次密评情况,增加上次密评的单位名称、密评得分
l密码使用安全D、密码使用有效性D,更新、统一
l根据密评结果备案审查需求,报告模板增加“附录B密评活动有效性证明记录”,主要包含以下内容:
a)密评委托证明:主要包括合同、任务书或其他委托证明文件扫描件,文件内容、页数过多的,只需提供服务内容、收费金额、签字盖章等关键页;运营者自行开展密评的,无须提供。
b)密评活动证明:主要包含密评人员差旅票证、住宿票证、进场记录、对接记录、现场照片等实地测评证明依据,相关材料应提尽提,不涉及的,可不提供,如在本地开展的测评活动,可以不提供差旅票证、住宿票证;机票需提供航空运输电子客票行程单,火车票需提供纸质车票扫描件/照片等。
c)密评活动质量文件:包括测评方案评审记录和密评报告评审记录的扫描件,密评机构与被测单位进行测评方案确认的记录,现场测评授权书、风险告知书扫描件等;运营者自行开展密评的,无须提供测评方案确认记录、现场测评授权书、风险告知书。
d)密评人员资格证明:包括实施密评活动人员中至少2名通过密评人员考试的成绩证明扫描件;同时提供密评报告编制人、审核人、批准人(授权签字人)通过密评人员考试的成绩证明扫描件。
e)系统定级匹配证明:系统定级备案证明。
二、方案密评报告模板
l进一步规范报告模板格式,包括字体统一、居中显示等
l基本信息表
a)增加被测系统是否属于关键信息基础设施,以及所属安全保护工作的部门
b)“本次被测信息系统与等级保护定级系统”是否一致这一栏对于未定级的情况无法勾选,调整模板
c)增加系统依赖情况,即是否依赖不在本系统范围内的云平台运行,以及云平台名称和云平台密评情况
l声明中添加“报告模板为2023年版”
l表3指标适用情况及论证说明,应的指标增加“□不适用”选项
l增加方案“报告分发范围”的描述,与系统评估报告保持一致
l据密评结果备案审查需求,报告模板增加“附录A密评活动有效性证明记录”,主要包含以下内容:
a)密评委托证明:主要包括合同、任务书或其他委托证明文件扫描件,文件内容、页数过多的,只需提供服务内容、收费金额、签字盖章等关键页;运营者自行开展密评的,无须提供。
b)密评活动证明:主要包含密评人员与委托方相关人员通信记录(如电话、邮件、信息等)、会议记录等测评证明依据,有任一证明即可。
c)密评活动质量文件:主要包括密评报告评审记录的扫描件。
d)密评人员资格证明:包括实施密评活动人员中至少2名通过密评人员考试的成绩证明扫描件;密评报告编制人、审核人、批准人(授权签字人)通过密评人员考试的成绩证明扫描件。
e)系统定级匹配证明:系统定级备案证明。
原文始发于微信公众号(利刃信安):《商用密码应用安全性评估报告模板(2023版)》 更新发布
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论