等保测评流程的优化与变革

2025 等保测评新规对测评流程产生了多方面的影响。

在测评准备阶段，新规要求测评机构和委托方更加明确测评范围，特别是对于涉及敏感数据和关键业务的信息系统，要进行更细致的梳理。

在测评实施过程中，渗透测试环节有了重大改变。新规明确渗透测试结果必须与标准测评项建立映射关系，针对身份鉴别、访问控制、数据保密性等关键方面进行重点测试，非标准安全发现项单独归类，这使得渗透测试更具针对性和精准性。

在测评报告环节，报告结构布局优化。采用双维度拓扑图示，不仅展示系统内部安全域划分，还呈现其在整体网络架构中的位置，让测评结果更直观地反映系统安全状况。

测评结论体系从百分制转变为三级结论体系，简化了结论表达，突出了重大安全隐患的判断。此外，对于风险评估，依据升级为 GB/T 20984 - 2022，新增多种威胁指标和评估模型，要求测评人员在评估风险时考虑更多因素。这些流程上的优化与变革，将使等保测评更加科学、严谨，为信息系统安全提供更可靠的保障。