2025年最新等级保护测评要求解读

近日,按照 “国家网络安全等级保护工作协调小组办公室”2025年3月8日印发的《关于进一步做好网络安全等级保护有关工作的函》相关要求,自2025年3月20日起签署的等保测评项目合同,在项目实施中开始启用《网络安全等级测评报告模版(2025版)》出具测评报告。与2021版的报告模板相比较,新的模板在结构和内容上进行了多项调整。2025版的网络安全等级保护测评报告模板主要在以下几个方面发生了变化,总结为两细化、三变更、五新增

一、细化安全区域划分描述

二、细化渗透测试问题描述

三、变更等级测评结论依据

四、变更总体评价结构章节

五、变更威胁列表参考依据

六、新增重大风险隐患概念

七、新增重大风险隐患分析

八、新增重大风险隐患整改

九、新增重大风险隐患附录G

十、新增重大风险隐患附录H

以下为2025版与2021版的主要差异解析:

一、报告结构与内容优化

1. 新增专项技术领域测评模块

2025版新增了针对物联网、工业互联网、人工智能等新兴技术的安全测评扩展表,要求对智能终端设备、工业控制系统、AI算法模型的安全性进行专项评估。

2021版仅包含云计算和大数据安全的扩展表,未覆盖新兴技术场景。

2. 细化“系统构成”描述

2025版要求详细描述被测系统的硬件架构(如服务器类型、存储架构)、软件配置(数据库版本、中间件名称)及网络拓扑(安全区域划分、边界防护设备型号)。

2021版对系统构成的描述较为笼统,仅要求概括性说明。

3. 强化“安全管理制度”测评

2025版新增了对网络安全应急预案演练记录、供应链安全管理协议的检查项,要求验证制度执行的实际效果。

2021版侧重制度文件的完整性,较少涉及执行层面的验证。

二、测评标准与结论判定调整

1. 测评结论等级细化

2025版将测评结论由“达标、基本达标、不达标”调整为四级评分制(优、良、中、差),并引入综合得分阈值(如“优”需≥90分)。

2021版采用定性结论,缺乏量化评分机制。

2. 新增“动态跟踪”要求

2025版要求测评报告中包含安全风险动态跟踪机制,需结合威胁情报和漏洞库数据,分析系统未来6个月内的潜在风险。

2021版仅针对当前状态进行静态评估。

3. 测评指标分类调整

2025版将原“物理安全、网络安全”等大类合并为基础设施安全,并新增数据全生命周期安全(采集、传输、存储、销毁)测评项。

2021版沿用传统分类,未明确数据全流程管理要求。

三、实施流程与方法升级

1. 强化渗透测试工具规范性

2025版明确要求使用国家认证的渗透测试工具(如“天镜”“绿盟”等),并需在报告中附工具接入示意图及测试路径说明。

2021版对工具选择无强制要求,仅需列明工具名称。

2. 新增“供应链安全”测评环节

2025版要求核查第三方服务商(如云服务商、外包开发团队)的安全资质及协议合规性,确保供应链环节无漏洞。

2021版未涉及此内容。

四、报告管理与整改要求

1. 报告编号规则调整

2025版的编号新增**“技术领域标识码”**(如AI为T01、物联网为T02),便于分类管理。

2021版编号仅包含备案系统编号、年份、机构代码及测评次数。

2. 整改建议具体化

2025版要求针对每个不符合项提供可落地的修复方案(如防火墙规则配置示例、补丁下载链接),并设定整改期限。

2021版的整改建议多为原则性描述,缺乏操作性指导。

以下为2025版与2021版的主要差异:

一、细化安全区域划分描述

2025版报告相对于2021版报告针对安全区域划分,细化安全域划分情况为:

安全区域划分情况(被测对象内部的划分和被测对象所处整体网络的区域划分)

【2021版报告】

640

【2025版报告】

640-14

二、细化渗透测试问题描述

2025版报告相对于2021版报告,需明确渗透测试结果记录与测评项之间的对应关系:

主要针对身份鉴别、访问控制、入侵防范、数据保密性、剩余信息保护等方面开展弱口令探测、跨站脚本等常见安全漏洞验证测试。对于其他渗透测试中发现但无法归到测评项中的问题也应单独列出,测评项标记为“其他”。

【2021版报告】

640-2

【2025版报告】

640-3

三、变更等级测评结论依据

2025版报告相对于2021版报告,取消原有综合得分计算及优、良、中、差的评价体系,更改等级测评结论为符合、基本符合、不符合:

1、符合:[被测对象名称]本次等级测评的符合率为[90%, 100%],且不存在重大风险隐患,等级测评结论判定为符合。

2、基本符合:[被测对象名称]本次等级测评的符合率为[60%, 90%),或者符合率为[90%, 100%]且存在重大风险隐患,等级测评结论判定为基本符合。

3、不符合:[被测对象名称]本次等级测评的符合率为[0,60%),等级测评结论判定为不符合。【2021版报告】

640-4
640-15

【2025版报告】

640-17

四、变更总体评价结构章节

2025版报告相对于2021版报告,变更总体评价位于测评报告中的位置,变更至正文第六章,并引入符合率统计:

注:符合率=单项符合总项数/(该级别要求总项数-不适用项数)*100%

【2021版报告】

640-5

【2025版报告】

640-7

五、变更威胁列表参考依据

2025版报告相对于2021版报告,变更威胁列表的内容,参考最新风险评估标准:

由GB/T 20984-2022《信息安全技术 信息安全风险评估方法》代替

原标准GB/T 20984-2007《信息安全技术 信息安全风险评估规范》。

【2021版报告】

640-6

【2025版报告】

640-16

六、新增重大风险隐患概念

2025版报告相对于2021版报告,引入“重大风险隐患”概念:

删除“综合得分”,新增“重大风险隐患数量”。

【2021版报告】

640-18

【2025版报告】

640-20
640-8

七、新增重大风险隐患分析

2025版报告相对于2021版报告,引入“重大风险隐患”概念:

在2021版报告“安全问题风险分析”基础上,新增“重大风险隐患分析”章节。【2021版报告】

640-9

【2025版报告】

640-10

八、新增重大风险隐患整改

2025版报告相对于2021版报告,引入“重大风险隐患”概念:

在2021版报告“安全问题整改建议”基础上,新增“重大风险隐患整改建议”章节。【2021版报告】

640-21

【2025版报告】

640-11

九、新增重大风险隐患附录G

2025版报告相对于2021版报告,引入“重大风险隐患”概念:

新增附录G“重大风险隐患触发项参照表”。

640-19
640-12

十、新增重大风险隐患附录H2025版报告相对于2021版报告,引入“重大风险隐患”概念:新增附录H“重大风险隐患及整改情况”。【2025版报告】

640-13