《商用密码应用与安全性评估》第四章密码应用安全性评估实施要点4.6测评报告编制报送和监督检查

目录

测评报告管理要求

测评报告编制 

测评报告审核

测评报告批准和签发

测评报告存档

测评报告更正

测评报告作废和销毁

保密要求

测评报告体例

测评相关信息报送

1.基本要求

①测评报告的备案

②被测信息系统密码应用数据的采集报送

 2.测评信息的采集、报送

1）表单设计

2）报送流程

测评报告监督检查

1.测评报告监督检查要点

2.检查方式

3.罚则

测评报告编制常见问题

---

测评报告管理要求

测评报告编制 

        编制人应当为项目组成员。

        测评报告封面使用统一版本

        应采用统一固定格式，报告格式设计应合理

        报告签发后，不允许随意修改。

 

测评报告审核

（1）测评报告编制依据的各种原始记录、单据的规范性和完整性。

（2）测评报告与原始记录的一致性。

（3）采用的测评依据的适用性和有效性。

（4）测评工具的适用性和有效性。

（5）测评报告格式的规范性。

（6）测评报告内容的完整性和正确性。

（7）单项测评结果/结论和整体测评结果/结论的客观性、准确性。

测评报告批准和签发

测评报告批准时应检查以下内容∶

（1）测评报告是否经过了审核。

（2）报告内容是否完整规范。

（3）测评结果是否正确，测评结论是否合理。

（4）授权签字人认为有必要检查的其他内容。

测评报告存档

        报告经批准盖章后，由测评机构文档管理人员对测评报告副本及相关原始记录（包含电子版）进行归档保存，且原始记录归档前需加盖骑缝章。

        测评报告副本及原始记录保存期一般为6年。

        测评机构存档的报告及相关文档只允许内部人员查阅，查阅测评报告须经过审批。

测评报告更正

发生以下情况，测评机构可以对签发的报告进行更改∶

（1）测评委托单位自身原因提出，并经测评机构确认所提要求合理的。

（2）测评委托单位对测评报告存在异议，申诉后经复验证明原测评报告存在问题的。

（3）测评机构发现测评报告存在问题的。更正报告的编号在原报告编号后加明显标识，以区别原报告。更正报告需在显著位置标明：“本报告为××××号报告的更正报告，原报告作废。”更正报告按规定进行编制、审核和批准。更正报告的签发日期为实际签发日期。

测评报告作废和销毁

        在需要对作废报告进行销毁时，由测评机构文档管理人员首先填写申请，报测评机构签发部门负责人批准后，再进行统一销毁。

保密要求

测评报告体例

测评报告一般包括报告封面、报告摘要、报告正文和附件。

正文包括：

1）测评项目概述

2）被测信息系统情况

3）测评指标与方法

4）单元测评结果汇总

5）整体测评结果

6）问题分析与整改建议

测评相关信息报送

1.基本要求

①测评报告的备案

        测评机构在完成测评报告编制和内部审核后，需要将内部审核通过后的测评报告发送给被测信息系统责任单位，由被测信息系统责任单位将测评报告送所在地设区市密码管理部门进行备案，并做好数据的归档保存。

②被测信息系统密码应用数据的采集报送

        测评报告正式发出后，测评机构还应按照密码应用数据报送要求，提炼被测信息系统的密码应用信息，填写数据表单，报送所属省部密码管理部门。

 2.测评信息的采集、报送

1）表单设计

（1）单位密码应用基本情况表

（2）网络与信息系统密码应用情况表

（3）使用的密码产品情况表。

2）报送流程

        测评机构完成系统密码应用安全性评估测评报告后，应依据测评报告提取出被测信息系统密码应用数据进行填报，并提交密码管理部门

        下一步，国家密码管理局将基于密码应用数据库建立密码安全信息通报机制和态势感知系统，各测评机构应定期或不定期搜集被测信息系统和所在地（行业）的密码安全动态，并及时报送。

测评报告监督检查

1.测评报告监督检查要点

1）检查主体：国家密码管理部门对测评机构进行监督检查，并根据需要对测评机构的评估结果进行检查。

2）检查内容：检查内容主要是测评报告的真实性、客观性、公正性，包括但不限于以下两个方面。

（1）测评报告的规范性。

（2）测评报告内容的完整性。

3）重点检查：涉及以下情况的，应重点检查∶

（1）被举报、投诉的测评机构。

（2）评估结果过期、近期存在整改不合格记录的重要领域的网络与信息系统。

（3）本年度新建的重要领域的网络与信息系统。

（4）国家密码管理部门确定需要检查的其他测评机构和重要领域的网络与信息系统的密码应用单位

2.检查方式

        按照国务院发布的"双随机"方式，选取抽查对象、参与抽查的人员。其中，抽查对象选取比例可由国家密码管理部门根据测评机构发展情况和测评报告数量等进行动态调整，但应不低于5??

3.罚则

1）整改

2）警告

3）取消资质：以下情况

（1）出具的测评报告不合格比例超过5%

（2）未按规定流程限期整改。

（3）出现重大测评事故。

（4）出具虚假报告。

（5）其他严重违规的情况。

测评报告编制常见问题

1.测评理解不深入

2.测评对象不全面

3.测评过程不合理

4.测评结论不正确