一、政策背景与核心目标

随着数字化进程加速，网络安全威胁日益复杂严峻，传统安全防护模式已难以满足新形势需求。该文件旨在通过优化测评体系、强化技术标准、压实责任链条，构建精准化、智能化的网络安全防护体系，提升国家关键信息基础设施安全保障能力。

二、主要改革举措

1. 测评体系重大升级

取消百分制打分
废除沿用多年的百分制评价模式，采用三级结论体系：符合（符合率≥90%且无重大隐患）、基本符合（60%≤符合率<90%或达标但存隐患）、不符合（符合率<60%）。
动态符合率计算
新增动态符合率公式，明确符合率=（符合项数/总要求项数-不适用项数）×100%，实现测评结果量化评估。

2. 技术标准深度革新

安全架构可视化
要求采用双维度拓扑图示，既包含被测对象内部安全域划分，又需标注其在整体网络架构中的位置关系，提升边界防护评估精度。
渗透测试规范化
明确渗透测试结果必须与标准测评项建立映射关系，重点覆盖身份鉴别、访问控制、数据保密性等核心领域，实现漏洞溯源精准化。
风险评估标准化
升级风险评估标准至GB/T 20984-2022，主要更新包括：
增加云原生环境威胁指标
完善工控系统风险评估模型
细化APT攻击检测标准

3. 风险防控机制创新

重大风险隐患全生命周期管理
构建“识别-评估-整改-追踪”闭环体系，采用CVSS 4.0评分系统对安全隐患进行分级，明确风险等级判定标准。
整改方案三定原则
定级
根据附录G触发项表确定风险等级
定时
明确修复优先级与时间节点
定责
划分整改责任矩阵
整改追踪体系
建立隐患生命周期状态看板、多维度整改效果评估矩阵及复测达标基准线，实现整改过程可视化管控。

三、实施要求与时间节点

新规适用范围
自2025年3月20日起，所有新签署的等保测评项目合同必须全面启用《网络安全等级测评报告模版（2025版）》。
责任主体落实
强调各单位需强化网络信息安全管理，落实防攻击、防病毒、防篡改等保护措施，严格执行7×24小时值守制度。
法律责任强化
根据《网络安全法》修正草案，对拒不履行网络安全保护义务的单位，最高可处一千万元罚款，并责令暂停相关业务。

四、影响与意义

评价导向转变
从“分数至上”转向“实效为王”，推动网络安全防护从形式合规向实质有效转变。
责任体系完善
新增整改追踪模块，强化各方主体责任，形成“测评-整改-复测”的完整责任链条。
技术标准对齐
渗透测试需与新版标准全面对齐，测评工具链需适配新关联规则，推动网络安全技术标准化进程。

五、应对策略建议

组织培训
开展新标准专项培训，确保测评人员掌握双维度拓扑图示、CVSS 4.0评分系统等新要求。
工具升级
及时更新报告生成系统模板，重构与客户沟通的话术体系，确保业务流程与新规无缝衔接。
能力建设
建立重大风险隐患数据库，完善应急处理预案，提升对云原生环境、工控系统等新兴领域的防护能力。