网络安全等级保护(以下简称“等保测评”)制度是我国网络安全领域现行的基本制度安全测评 。所谓等保测评,即具有资质的测评机构,依据国家网络安全等级保护规范规定,按照有关管理规范和技术标准,对等保对象(如信息系统、数据资源、云计算、物联网、工业控制系统等)的安全等级保护状况进行检测评估。
近日,按照 “国家网络安全等级保护工作协调小组办公室”2025年3月8日印发的《关于进一步做好网络安全等级保护有关工作的函》相关要求,自2025年3月20日起签署的等保测评项目合同,在项目实施中开始启用《网络安全等级测评报告模版(2025版)》出具测评报告安全测评 。与2021版的报告模板相比较,新的模板在结构和内容上进行了多项调整。
针对本次调整,我司等保测评服务团队对两个版本进行了详细的比较分析,供大家在实际操作过程中借鉴参考安全测评 。
案例分析
案例一:
2021版测评报告模板
得分98.59分安全测评 ,无“中、高”风险问题,测评结论“优”
2025版测评报告模板
符合率:98.63%安全测评 ,若不存在重大隐患问题测评结论“符合”,存在则为“基本符合”
案例二:
2021版测评报告模板
得分86.00分安全测评 ,无“高”风险问题,测评结论“良”
2025版测评报告模板
2025版测评报告模板:符合率:86.11%安全测评 ,测评结论“基本符合”
案例三:
2021版测评报告模板
得分76.28分安全测评 ,无“高”风险问题,测评结论“中”
2025版测评报告模板
符合率:83.03%安全测评 ,测评结论“基本符合”
案例四:
2021版测评报告模板
得分42.83分安全测评 ,测评结论“差”
2025版测评报告模板
符合率:47.54%安全测评 ,测评结论“不符合”
案例五:
2021版测评报告模板
得分69.44分安全测评 ,测评结论“差”
2025版测评报告模板
符合率:77.42%安全测评 ,测评结论“基本符合”(特点:云租户、二级系统、资产数量少)
重点变化2:增加重大风险隐患问题
一、新增模块的核心变化与要求
1.判定逻辑从单一风险到系统性隐患
传统高风险判例:主要针对单一技术漏洞或管理缺陷进行评估,对安全问题进行危害分析,整改方向明确安全测评 。
重大风险隐患:在原有'高、中、低”安全风险问题的基础上,基于“相关性原则、严重性原则、高发性原则”进行再次分析,梳理出对本系统具有重大风险隐患的问题,强调系统性风险,需结合多重安全要素综合判定安全测评 。
2.评估范围扩展至新技术场景
重大风险隐患覆盖物联网、工业控制等新兴领域安全测评 。
二、对测评单位的新要求
1.测评技术人员能力升级
从传统高风险判例到现在系统性的重大风险隐患评估,测评师需增强整体测评把控的能力安全测评 。
2.测评工具与方法的更新
需要测评工具在传统测评内容不变的基础上,能够快速上线新功能适配新模块、新要求安全测评 。
3.报告深度升级
报告的关键内容从单一的分数、高风险项升级为符合率、综合性的重大风险隐患评估,需要测评机构对测评内容和报告内容更深层次的理解安全测评 。
三、对被测单位新的要求
1.技术防护强化
需建立风险分级管控体系,优先处理重大风险隐患,优化资源配置安全测评 。
2.系统安全问题透明化
重大风险隐患需在报告中单独列示,明确整改措施和过程,确保安全隐患处理透明化、可追溯安全测评 。
3.责任单位的主动风险管理
重大风险隐患透明化推动责任单位从被动合规转向主动防御安全测评 。
综合来看,测评单位:需提升风险综合分析能力,升级测评工具和方法,并加强报告编制的规范性安全测评 。
责任单位:需建立风险分级管控体系,优先处理重大隐患,优化资源配置;同时完善安全管理制度,把整改工作落地,确保整改措施与业务目标对齐安全测评 。
格式/内容/结构/术语更新举例
格式规范更新举例:
报告名称的行间距由1变成1.5安全测评 ,封面报告编号行间距由1.5变为1,年月变为年月日
内容要求细化更新举例:
更新渗透测试问题分析维度以及要求:
结构调整细化更新举例:
总体评价改为放置在第6章,填写说明变化,需描述总测评项及符合、部分符合、不符合、不适用项数量,且增加“表6-1要求项符合情况汇总表”安全测评 。
术语更新举例:
附录A.5:表格字段“操作系统/控制软件及版本”改为“操作系统及版本”安全测评 。
来源天帷