等保测评软件测试：关键国家标准全梳理

等保测评软件测试部分核心依据等保 2.0 体系相关国家标准，替代了原已废止的 GA/T 712 - 2007 等旧标准，具体关键标准如下中华人民共和国公安部：

1. GB/T 22239 - 2019《信息安全技术 网络安全等级保护基本要求》：核心基础性标准。明确了不同等级软件系统的安全通用要求，软件测试需围绕其中应用与数据安全相关内容展开，比如软件的身份鉴别、访问控制、安全审计、数据完整性与保密性、容错能力等核心功能是否达标。

2. GB/T 28448 - 2019《信息安全技术 网络安全等级保护测评要求》：为软件测试提供具体测评指标。针对不同级别软件，细化了测试维度和判定标准，比如三级软件系统需测试强制访问控制、安全标签使用等功能，可直接作为软件测评时的检查依据，判断各项安全措施是否符合对应等级要求。

3. GB/T 28449 - 2018《信息安全技术 网络安全等级保护测评过程指南》：规范软件测评的流程。规定了软件测试的具体环节，包括测试准备、现场检测、结果分析等步骤，明确测试中需采用的访谈、配置核查、功能测试等方法，保障软件测评过程规范且结果可重复。

4. GB/T 25070 - 2019《信息安全技术 网络安全等级保护安全设计技术要求》：聚焦软件设计阶段的测试依据。测试时会核查软件的安全架构设计是否合理，比如代码编写是否遵循安全规范、安全功能模块设计是否契合等级要求等，以此评估软件从设计层面是否具备基础安全防护能力。

5. GB/T 36627 - 2018《信息安全技术 网络安全等级保护测试评估技术指南》：提供软件测试的技术支撑。明确了软件测评中的技术分类与定义，比如针对软件漏洞扫描、渗透测试等技术手段的应用规范，为测试人员分析软件安全隐患、解读测试结果提供技术指导。