发布日期:2025-05-13 浏览次数:22
国家网络安全等级保护工作协调小组办公室于2025年3月8日发布重要通知—《关于进一步做好网络安全等级保护有关工作的函》公网安[2025]1001号,以“法制化、规范化、实战化”为总体要求进一步做好网络安全等级保护工作,采取有力措施,深入开展系统备案更新、数据资源摸底、风险隐患排查以及问题隐患整改等工作,全力夯实网络安全等级保护制度基础,坚决维护国家网络和数据安全。其要求自2025年3月20日起,新签署的网络安全等级保护测评服务项目合同,需采用《网络安全等级测评报告模版(2025 版)》,进行等级测评工作开展,并出具2025版测评报告。相比2021版报告,结论、结构和内容等做了优化调整。
序号 差异 概述 数量 占比 1 格式规范 主要包括页眉页脚、标题格式、正文排版、附件格式等方面 6 7.1% 2 内容要求细化 对报告内容进行改进,增加、删除、补充完善等(如增加统一社会信用代码、增加渗透问题对应条款) 47 56% 3 结构调整 整体内容及标题结构调整变更(取消主要安全问题和建议、总体评价放置于正文) 15 17.9% 4 术语变更 报告中资产、特定名词术语进行修改或更新(资产类型定义等) 11 13.1% 5 重点革新 测评结论、重大风险隐患带来的章节变化 5 5.9% 合计 84 100% 重点变化1:测评结论判定变化 本次重大更新且影响面比较广的主要是测评结论调整,具体如下: 案例分析 案例一: 老 2021版测评报告模板 得分98.59分,无“中、高”风险问题,测评结论“优” 新 2025版测评报告模板 符合率:98.63%,若不存在重大隐患问题测评结论“符合”,存在则为“基本符合” 案例二: 老 2021版测评报告模板 得分86.00分,无“高”风险问题,测评结论“良” 新 2025版测评报告模板 2025版测评报告模板:符合率:86.11%,测评结论“基本符合” 案例三: 老 2021版测评报告模板 得分76.28分,无“高”风险问题,测评结论“中” 新 2025版测评报告模板 符合率:83.03%,测评结论“基本符合” 案例四: 老 2021版测评报告模板 得分42.83分,测评结论“差” 新 2025版测评报告模板 符合率:47.54%,测评结论“不符合” 案例五: 老 2021版测评报告模板 得分69.44分,测评结论“差” 新 2025版测评报告模板 符合率:77.42%,测评结论“基本符合”(特点:云租户、二级系统、资产数量少)
重点变化2:增加重大风险隐患问题 1 新增模块的核心变化与要求 1.判定逻辑从单一风险到系统性隐患 传统高风险判例:主要针对单一技术漏洞或管理缺陷进行评估,对安全问题进行危害分析,整改方向明确。 重大风险隐患:在原有'高、中、低”安全风险问题的基础上,基于“相关性原则、严重性原则、高发性原则”进行再次分析,梳理出对本系统具有重大风险隐患的问题,强调系统性风险,需结合多重安全要素综合判定。 2.评估范围扩展至新技术场景 重大风险隐患覆盖物联网、工业控制等新兴领域。 2 对测评单位的新要求 1.测评技术人员能力升级 从传统高风险判例到现在系统性的重大风险隐患评估,测评师需增强整体测评把控的能力。 2.测评工具与方法的更新 需要测评工具在传统测评内容不变的基础上,能够快速上线新功能适配新模块、新要求。 3.报告深度升级 报告的关键内容从单一的分数、高风险项升级为符合率、综合性的重大风险隐患评估,需要测评机构对测评内容和报告内容更深层次的理解。 3 对被测单位新的要求 1.技术防护强化 需建立风险分级管控体系,优先处理重大风险隐患,优化资源配置。 2.系统安全问题透明化 重大风险隐患需在报告中单独列示,明确整改措施和过程,确保安全隐患处理透明化、可追溯。 3.责任单位的主动风险管理 重大风险隐患透明化推动责任单位从被动合规转向主动防御。 综合来看,测评单位:需提升风险综合分析能力,升级测评工具和方法,并加强报告编制的规范性。 责任单位:需建立风险分级管控体系,优先处理重大隐患,优化资源配置;同时完善安全管理制度,把整改工作落地,确保整改措施与业务目标对齐。
格式/内容/结构/术语更新举例 格式规范更新举例: 报告名称的行间距由1变成1.5,封面报告编号行间距由1.5变为1,年月变为年月日 内容要求细化更新举例: 更新渗透测试问题分析维度以及要求: 2021版 2025版 结构调整细化更新举例: 总体评价改为放置在第6章,填写说明变化,需描述总测评项及符合、部分符合、不符合、不适用项数量,且增加“表6-1要求项符合情况汇总表”。 2021版 2025版 术语更新举例: 附录A.5:表格字段“操作系统/控制软件及版本”改为“操作系统及版本”。 2021版 2025版
微信便捷交流