等保测评的新规定
发布时间:2025-3-27 10:16:10 来源:本站
2025 年 3 月 8 日,国家网络安全等级保护工作协调小组办公室发布通知,自 2025 年 3 月 20 日起,新签署的等保测评项目合同需采用《网络安全等级测评报告模版(2025 版)》,主要变化如下:
-
测评结论体系调整:取消百分制评分,采用三级结论体系,即符合(符合率≥90% 且无重大隐患)、基本符合(60%≤符合率 < 90% 或达标但存隐患)、不符合(符合率 < 60%)。同时,将综合评价模块移至第六章,新增动态符合率计算公式:符合率 =(符合项数)/(总要求项数 - 不适用项数)×100%。
-
报告结构布局优化:采用双维度拓扑图示,既包含被测对象内部安全域划分,又标注其在整体网络架构中的位置关系,提升网络边界防护评估精度;明确渗透测试结果必须与标准测评项建立映射关系,非标准发现项单独归类至 “其他” 类别,实现漏洞溯源精准化。
-
风险评估依据更新:风险评估标准升级为 GB/T 20984 - 2022,增加云原生环境威胁指标,完善工控系统风险评估模型,细化 APT 攻击检测标准。
-
重大风险隐患全周期管理机制建立:
-
新增重大风险隐患概念:明确三类核心判定标准,即可导致系统瘫痪的架构缺陷、存在大规模数据泄露风险的漏洞、可能引发级联故障的安全短板。
-
新增重大风险隐患分析:在第七章增设专项分析模块,采用 CVSS 4.0 评分系统对隐患进行分级,重点评估业务连续性影响程度、数据资产受损范围、修复成本时效比。
-
新增重大风险隐患整改:在第八章制定定向整改方案,建立 “三定” 原则,即定级(根据附录 G 触发项表确定风险等级)、定时(明确修复优先级与时间节点)、定责(划分整改责任矩阵)。
-
新增重大风险隐患附录 G:提供标准化判定工具,包含 12 类高危漏洞触发条件、7 级风险影响评分表、3 类应急处理预案。
-
新增重大风险隐患附录 H:构建整改追踪体系,设置隐患生命周期状态看板、多维度整改效果评估矩阵。
此次新规通过 “两细化、三变更、五新增” 的结构性调整,强化了我国网络安全防护体系,推动其进入精准化管控阶段,促使等保测评从 “分数驱动” 向 “实效导向” 转变,通过新增整改追踪模块强化主体责任,同时促使测评工具链等技术标准适配新关联规则。
豫公网安备 41010702002976号
