等保测评介绍

一、等级测评-服务目的
为全面贯彻落实《网络安全法》,根据国家网络安全等级保护制度要求,针对已定级备案的等级保护对象,开展全面、深入的网络安全等级保护测评工作,对等级保护对象安全防护体系的保护能力进行评估,主动发现系统中的安全隐患,帮助网络和信息系统运营使用单位提升安全防护能力。

二、等级测评-服务内容
遵循国家相关标准和规范,合理选择对象、指标,综合运用访谈、检查和工具测试等手段,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理等方面进行测评,对于云计算、移动互联、物联网和工业控制系统等新技术新应用进行安全测评,找出信息系统当前的安全保护水平与国家标准之间的差距,排查安全隐患,并提出整改建议,出具等级测评报告。

三、等级测评-服务依据
《中华人民共和国网络安全法》

《信息安全等级保护管理办法》(公通字[2007]43号)

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安【2020】1960号)

GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

根据您提供的最新标准和文件要求(尤其是2025年版定级报告模板、备案表和测评报告模板,以及培训文字稿中的新概念和修订点),我对您原始内容进行了修订。修订旨在使描述更精准、更符合最新的政策和技术实践。

四、网络安全等级保护测评介绍

网络安全等级保护测评(简称等级测评或等保测评)是指具备相应资质的测评机构,依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的等级保护对象(包括但不限于基础网络、信息系统、工业控制系统、云计算平台、物联网、移动互联系统、大数据平台等)的安全保护状况进行检测评估的活动。其核心目的是检验等级保护对象是否达到相应网络安全保护等级的要求,客观反映并评价其安全防护能力。等级测评是落实网络安全等级保护制度、确保网络系统安全的重要手段,在整个等级保护工作中发挥着“以测促建、以测促改、以测促管”的关键作用。

五、网络安全保护等级划分

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及业务信息安全被破坏后和系统服务安全被破坏后,对国家安全或地区安全、国计民生、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的危害程度,划分为五个等级:

  • 第一级(自主保护级): 等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
    • 示例: 一些小型的、不涉及关键业务的企业内部信息管理系统,仅承载一般性办公数据。
  • 第二级(指导保护级): 等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
    • 示例: 普通企业网上办公系统,存储企业日常运营数据或少量个人信息,一旦遭到破坏会影响企业正常工作秩序或造成一定经济损失。
  • 第三级(监督保护级): 等级保护对象受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害(2025年起涉及国家安全至少为第四级,标准修订中)。
    • 示例: 提供公共服务的电子政务系统、金融行业的核心业务系统、大型企业的重要业务系统等,承载重要数据或敏感个人信息。
  • 第四级(强制保护级): 等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
    • 示例: 国家重要政府部门的核心业务系统、大型能源交通系统、关系国计民生的关键信息基础设施等。
  • 第五级(专控保护级): 等级保护对象受到破坏后,会对国家安全或地区安全、国计民生造成特别严重损害。
    • 示例: 国家能源管理系统、交通指挥调度系统、金融核心交易系统、大型互联网平台等关系国家或地区核心利益和国计民生的极其重要的系统。
  • 根据2025年《关于进一步做好网络安全等级保护有关工作的函》公网安〔2025〕1001号等文件要求,最新执行标准以下表为准。
业务信息安全/系统服务安全被破坏时所侵害的客体对相应客体的侵害程度
一般损害严重损害特别严重损害
公民、法人和其他组织的合法权益第一级第二级第二级
社会秩序、公共利益第二级第三级第四级
国家安全或地区安全、国计民生第四级第五级第五级

等级划分说明:
定级对象的最终安全保护等级由其承载的业务信息安全保护等级(S)和系统服务安全保护等级(A)中较高者决定。例如,一个系统可能被定级为S3A3或S2A3等,其中S代表业务信息安全等级,A代表系统服务安全等级。等级为第三级及以上的系统,一旦遭到破坏,通常会对社会秩序、公共利益或国家安全造成较大影响,需要更严格的保护。

五、等级测评工作流程

等级保护工作是一个闭环管理流程,等级测评是其中的核心环节。根据《网络安全等级保护测评过程指南》要求,测评机构的实施工作流程通常包括以下四个主要活动,并与整个等级保护制度的五个规定动作(定级、备案、建设整改、测评、监督检查)紧密结合:

  1. 定级:
    • 说明: 运营者需全面梳理本单位各类网络系统,依据GB/T 22240-2020《网络安全等级保护定级指南》及相关行业定级指导意见,从业务信息安全和系统服务安全的角度分析其受到破坏后对侵害客体(公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全或地区安全、国计民生)的侵害程度,最终确定等级保护对象的安全保护等级。初步确定为第四级(含)以上的信息系统,运营者需组织国家网络安全等级保护专家对定级结果进行评审。
    • 最新要求: 2025年版定级报告模板中强调对国家安全或地区安全、国计民生造成损害的第五级系统定级要求,并详细说明了责任主体、定级对象构成、承载业务、承载数据和安全责任等内容。
  2. 备案:
    • 说明: 运营者在等级保护对象投入运行后,应在规定时间内(新建网络在规划设计阶段确定等级,投入运行后30个工作日内),依据《网络安全等级保护备案实施细则(试行)》及2025版备案表模板,编写定级报告、填写备案表并准备相应材料,报送至属地公安机关网安部门进行备案。
    • 最新要求: 备案需使用2025版《网络安全等级保护备案表》,涵盖《数据摸底调查表》和新技术新应用场景信息,以便摸清数据基本信息和新技术应用情况。第五级网络系统需到省级公安机关网安部门备案。备案证明有效期为三年,完成等级测评后可自动延长一年。
  3. 测评(由测评机构实施):
    • 测评准备活动: 测评机构根据委托协议,组建项目组,进行项目启动、信息收集与分析(包括被测单位管理架构、技术体系、运行情况、新技术应用等),并准备测评工具和表单(如风险告知书)。
    • 方案编制活动: 根据信息收集结果,确定测评对象(需遵循重要性、安全性、共享性、全面性、符合性原则,对关键资产、新技术应用对象进行重点覆盖),选取测评指标(通用要求、扩展要求及其他特殊要求),规划测试验证方法(漏洞扫描、渗透测试),开发测评作业指导书,并最终编制完整的等级测评方案。测评方案需经客户签字确认。
    • 现场测评活动: 测评机构在获得授权后,通过访谈、核查、测试三种方法,对被测等级保护对象的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度、机构、人员、建设管理和运维管理等各方面进行检测评估。测评过程中应及时记录结果,并确保对被测系统无不良影响。
    • 报告编制活动: 测评人员根据现场测评结果,进行单项测评结果判定、整体测评分析(考虑纵深防护和措施互补),识别安全问题并进行风险分析(判定高中低风险,重点识别重大风险隐患),最终依据2025版《网络安全等级测评报告模板》编制等级测评报告,并形成测评结论。
  4. 整改与复测:
    • 说明: 运营者根据测评报告中指出的安全问题和风险(特别是重大风险隐患),结合测评机构提出的整改建议,制定详细的保护工作方案,并对不符合项进行建设和整改加固。整改完成后,测评机构将对不符合项进行复测。若复测结果符合要求,测评机构将出具最终的测评报告。
    • 最新要求: 运营者需在每年12月31日前将保护工作方案提交属地公安机关和行业主管部门,该方案应以测评发现的重大风险隐患为主线,深挖问题成因,提出整改思路和工作计划。
  5. 监督检查:
    • 说明: 由公安机关网安部门(会同相关行业主管部门)依据法律法规和政策文件,定期对已完成等级测评和整改的等级保护对象进行监督检查,检查其网络安全保护义务的履行情况和重大风险隐患的整改进度。对于不正确履行等级保护义务、拒不整改或导致危害网络安全等后果的,将依法依规进行处理和通报。
    • 最新要求: 监督检查将常态化进行,并重点关注重大风险隐患的整改落实情况。