网络安全等级测评报告模版（2025版）更新，四个关键点需要关注

号外：

2025年3月18日，测评机构已收到通知，自2025年3月20日起签署的等保测评项目合同，在项目实施中开始启用《网络安全等级测评报告模版（2025版）》出具测评报告。

总体变化说明：

2025版的网络安全等级保护测评报告模板主要变化如下：

1、等级测评结论：修改了等级测评结论的判定依据，不再进行综合得分计算，而是根据符合率，判定等级测评结论为符合、基本符合和不符合。

2、风险分析：新增“重大风险隐患”分析相关内容，强化对重大风险隐患的关注，且与测评结论有密切关系。

3、内容细化：对部分章节的问题描述和风险分析进行了更详细的说明。

4、格式优化：部分章节的格式和表述进行了优化，提升报告的可读性和实用性。

5、测评与渗透紧密关联：第一次在测评报告中实现了等保测评要求项条款与渗透测试问题的相结合及紧密关联。

基于《网络安全等级测评报告模版（2025版）》内容的变化，这四个关键点需要我们关注，供大家参考：

1、聚焦重大风险分析：在对已识别的高风险问题进行深度剖析时，依据相关性、严重性和高发性原则，聚焦重大风险隐患问题。从附录G中可以看出，在《高风险判定指引》的基础上，分析范围进一步涵盖至工控、物联网和供应链等领域的安全风险隐患。

2、提升安全运营标准：不再仅限于满足基本的安全要求，而是针对重大风险隐患进行全面评估，涵盖互联网暴露面、集权管理类系统以及安全管理运维水平等多个维度。这表明了对安全运营能力提出了更高的要求。

3、强化安全分析能力：测评机构不仅需要具备发现重大风险隐患的能力，还需能够从攻防实战角度出发进行风险关联分析和验证。

4、增强结果可追溯性：无论是已整改还是未整改的重大风险隐患，都应详细体现在测评报告中。对于已整改的重大风险隐患应有详细的证据过程，为后续对重大风险隐患的管理提供强有力的依据。

2025版报告的“等级测评结论”发生变化

主要变化：

1）测评结论由原2021版的“优、良、中、差”改变为2025版的“符合、基本符合、不符合”。

2）不再使用原2021版的计分计算公式。

3）2025版报告的测评结论与被测对象的测评要求项“符合率”、“重大风险隐患”的安全问题分析有密切关系。

报告章节目录调整变化

1）取消了2021版报告中的“总体评价、主要安全问题及整改建议”页的内容，2025版报告中增设了“重大风险隐患及整改建议”页的内容。

2）2021版报告中的“3.13单项测评小结（3.13.1控制点符合情况汇总、3.13.2安全问题汇总）”变为2025版报告的“3.13安全问题汇总”。

3）2021版报告中的“5安全问题风险分析”变为2025版报告的“5安全问题分析（5.1低中高风险安全问题分析、5.2重大风险隐患分析）”。

4）2025版报告中增设了“6总体评价”章节内容。

5）2021版报告中的“7安全问题整改建议”变为2025版报告的“5安全问题整改建议（5.1低中高风险安全问题整改建议、5.2重大风险隐患整改建议）”。

6）2025版报告中增设了“附录G重大风险隐患触发项参照表、附录H终端风险隐患及整改情况（H.1重大风险隐患1（已整改）、H.2重大风险隐患2）”的章节内容。

封面日期调整细化到日

增加“统一社会信用代码”

“统一社会信用代码”查询方法：

1）海南省内：https://xyhn.hainan.gov.cn/CreditHnExtranetWeb/xygs/tyshxydmList.do?

2）全国范围：https://www.creditchina.gov.cn/xinyongfuwu/tongyishehuixinyongdaimachaxunzhuanlan/

3）注：应到被测单位属地相应的“信用中国（XX属地）”的“统一社会信用代码”查询专栏中进行准确查询。

“声明”页内容在“被测对象名称”后加入“备案证明编号”的内容

“等级测评结论”页内容变化

主要变化：

1）在“扩展要求应用情况”这里，新增“其他”类别。

2）在“被测对象描述”这里，填写说明将【2021版】的“以及被测对象安全技术情况和安全管理情况”修改为“包括被测对象的子系统情况”。

3）在“安全状况描述”这里，新增了参考示例。

4）将【2021版】的“综合得分”修改为“重大风险隐患数量”。同理，云计算安全和大数据安全等级测评结论扩展表的这个位置也是将“综合得分”修改为“重大风险隐患数量”。

2025版报告中新增“重大风险隐患及整改建议”页内容

注：相关内容关联“5.2重大风险隐患分析”、“8.2重大风险隐患整改建议”。

“等级测评结论扩展表（云计算安全）”页内容的变化

“等级测评结论扩展表（大数据安全）”页内容的变化

“1.2 测评依据”的【填写说明】内容细化明确

相关测评依据要结合实际情况，且不宜过多。

“2.1.3 网络结构”的【填写说明】内容要求细化

明确了网络边界情况和安全区域划分情况的要求。

“3.12.1.2漏洞扫描问题描述”中补充相关内容

补充了关于“放弃漏洞扫描”的“【填写说明】”。

2025版中细化明确了关于“3.12.2渗透测试”的相关工作要求

“3.12.2.2渗透测试问题描述”的填写说明更详细，且修改了结果汇总表格，新增了一些列：通用/扩展、安全类、控制点、测评项。这一调整有助于更准确地识别和评估等保中涉及到的测评条款，实现等保测评与渗透测试的相结合及紧密关联。

“3.13”章节名称的化为“安全问题汇总”并删除子章节内容

2025版报告“3.13”章节名称的变化为“安全问题汇总”，删除了原2021版中的“控制点符合情况汇总”子章节内容。

补充并完善“4整体测评”中的“【填写说明】、【参考示例】”的内容

2025版报告的“5安全问题风险分析”中增设两个子章节

两个子章节分别为“5.1低中高风险安全问题分析”和“5.2重大风险隐患分析”。

“5安全问题风险分析”中增设的“5.2重大风险隐患分析”说明

2025版报告“总体评价”的内容调整变化

1）目录章节调整：由原2021版的“总体评价”页调整为2025版的“6总体评价”。

2）内容调整：由原2021版的“被测对象的安全保护状况评价描述”调整为2025版的“符合率说明描述和符合率百分占比计算”；且2025版的“符合率”与“等级测评结论”有关联。

3）“符合率”的计算应包含：“通用要求+扩展要求”的所有要求项的符合情况进行计算，“注：符合率=单项符合总项数/（该级别要求总项数-不适用项数）*100%”。

2025报告的“安全问题整改建议”内容变化

主要变化：

1）2025版报告中的“8安全问题整改建议”中增设了两个子章节：“8.1低中高风险安全问题整改建议”、“8.2重大风险隐患整改建议”。

2）“8.2重大风险隐患整改建议”填写说明：经第五章5.2节重大风险隐患分析之后，确认为重大风险隐患的，应当在本节提出整改建议。整改建议应具有针对性、全面性、整体性。既要保证相关整改建议能够落地实施，又要能够全面的、系统性解决系统面临的重大风险隐患。已整改的重大风险隐患，也需在此说明具体的整改措施。

20.2025版“附录A被测对象资产”的变化

主要变化：

2025版“附录A被测对象资产”中“A.2网络设备、A.3安全设备、A.4服务器、A.5终端设备、A.6其他系统或设备、A.7系统管理软件/平台、A.8业务应用系统/平台”的资产表中加入了“IP地址”（注：“IP地址第三段使用“*”代替，例如10.1.*.10”）的内容。

2025报告中增设“附录H重大风险隐患及整改情况”的章节内容

填写说明：

1）描述被测对象存在的全部重大风险隐患，并详细说明重大风险隐患发现确认的过程。

2）对于已完成整改的，应当详细说明重大风险隐患整改情况，并提供整改后无法利用的理由或相关证明材料。

往期回顾

PREVIOUS REVIEW

END