等保测评取消打分《网络安全等级测评报告模版（2025 版）》变更

等保测评取消打分：2025 版《网络安全等级测评报告模板》核心变化解析

一、取消打分的背景与目标

2025 年 3 月起，国家网络安全等级保护工作协调小组办公室正式启用新版《网络安全等级测评报告模板（2025 版）》，取消沿用多年的百分制评分，改为三级结论体系（符合、基本符合、不符合）。这一调整旨在：

适应数字化威胁升级：针对高级持续性威胁（APT）、云原生环境等新型风险，提升测评的实战化和精准化。

强化风险导向：避免企业为追求高分“形式主义合规”，转而聚焦重大风险隐患的实际整改。

二、2025 版报告模板的核心变化

1. 测评结论体系重构

取消百分制：不再以综合得分（如“优、良、中、差”）作为结论依据。

三级结论判定：

符合：符合率≥90% 且无重大风险隐患。

基本符合：60%≤符合率＜90%，或符合率≥90%但存在重大隐患（如未备份）。

不符合：符合率＜60%。

典型案例：某系统符合率 98%，但因未建立数据备份机制，结论降为“基本符合”。

2. 重大风险隐患管理

新增量化指标：明确三类核心判定标准：

系统瘫痪风险：如架构缺陷导致单点故障。

数据泄露风险：如未加密传输敏感数据。

级联故障风险：如未隔离物联网设备导致攻击扩散。

整改机制强化：

CVSS 4.0 分级：对隐患按业务影响、修复成本等分级。

三定原则：定级（风险等级）、定时（修复时限）、定责（责任矩阵）。

附录工具：附录 G 提供 12 类高危漏洞触发条件，附录 H 建立整改追踪体系。

3. 可视化与风险评估升级

双维度拓扑图：需展示被测系统内部安全域划分及其在整体网络架构中的位置，提升边界防护评估精度。

风险评估标准更新：采用 GB/T 20984-2022，新增云原生环境威胁指标、工控系统评估模型、APT 攻击检测标准。

4. 报告结构与术语优化

综合评价后置：移至第六章，新增动态符合率公式：符合率 = 符合项数 / (总要求项数 - 不适用项数) × 100%。

渗透测试细化：明确覆盖身份鉴别（弱口令）、访问控制（越权）、数据保密性（加密）等维度。