近期,公安部门基于等保定级、备案和测评三大环节,更新发布了2025版等保定级报告、等保备案表和等保测评报告模板三个文件,通知要求自 2025 年 3 月 20 日起,新签署的等保测评项目合同需采用《网络安全等级测评报告模版(2025 版)》,对比2021版,本次修订标志着等保测评体系迎来重大升级,等保测评的体系化更完整,更关注防护效果,落地性更强,进一步强化网络与数据安全防护体系进入精准化管控阶段。
迪普科技网络与数据安全专家对三个文件的主要变化进行了解读。
1
《网络安全等级保护定级报告(2025版)》
主要变化
1
定级对象章节中要求项更细化:
责任主体变化:除要求承担定级对象安全责任的单位或部门外,还要求说明建设负责部门,运行维护负责部门,安全主管部门和定级责任单位,承担定级对象的网络安全和数据安全责任。
新增承载数据章节内容,要求填报定级对象所承载的数据,包括数据类别、数据级别、数据处理环节等描述,与其他系统存在数据交换的,还应说明数据流转情况。衔接《数据安全技术 数据分类分级规则》或行业标准。
安全责任:明确单位履行网络安全保护义务,部门负责日常网络安全工作落实,要求指明单位负责人,直接负责的主管人员要求提供身份证号码。
2
安全保护等级确定章节中要求项变化
数据安全纳入定级环节:定级对象要求描述处理的主要数据类型、数据级别及其规模等;当定级业务信息受到破坏时所侵害客体及侵害程度的确定,均把数据安全的分析纳入填报说明。
影响客体描述变化:三个客体(公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全),在国家安全中增加了地区安全、国计民生。
保护等级适度调高:业务信息安全保护等级和系统服务安全保护等级矩阵,由原来的“一二二”“二三四”“三四五”,改为“一二二”“二三四”“四五五”的组合方式,涉及国家安全或地区安全、国计民生的一般损坏和严重损坏,均调高一级。
2
《网络安全等级保护备案表(2025版)》
主要变化
定级要求与备案表填报是对应的,所以定级中的变化在备案表里也有所体现,在备案表里,单独增加了表六“数据摸底调查表”,由第三级及以上网络运营使用单位填写,每类数据填写一张,有多类数据的要分别填写。
这里需要结合单位的数据分类分级情况,数据安全责任部门及数据安全负责人情况、数据总量、月增长量、数据来源、单位间数据流转(流入和流出)、数据处理的交互情况、数据存储位置等全面排查,并如实填写数据摸底调查表。这是等保2.0进入全新时期的一个重要特征。增加的表六,如下图:
3
《网络安全等级保护等级测评报告(2025 版)》
主要变化
细化安全结构区域划分描述:新版报告要求采用双拓扑展示,既包含被测对象内部安全域划分,又需标注被测对象所处整体网络的区域划分。
细化渗透测试问题描述:明确渗透测试结果必须与标准中的测评项建立映射关系,主要针对身份鉴别、访问控制、入侵防范、数据保密性、剩余信息保护等方面开展弱口令探测、跨站脚本等常见安全漏洞验证测试。对于其他渗透测试中发现但无法归到测评项中的问题也应单独列出,实现漏洞溯源精准化。
变更等级测评结论判定依据:取消2021年版的百分制扣分评分法,2025版采用三级结论符合性评估法:
变更总体评价结构章节:将总体评价模块移至第六章,新增要求项符合情况汇总表及符合率统计,符合率=单项符合总项数/(该级别要求总项数-不适用项数)*100%
新增重大风险隐患概念:首次引入“重大风险隐患”量化指标。
明确三类核心判定标准(造成业务中断;敏感数据泄露或被篡改;获得系统管理权限或业务权限等严重后果的)。
在第五章增设重大风险隐患分析一节内容,并提供了附录G重大风险隐患触发项参照表(32项触发条件及说明)作为填报依据。
在第八章增设重大风险隐患整改建议一节内容,要求对已整改的重大风险隐患,按相关性、严重性、高发性三原则进行分析,提供具体的整改措施说明,同时提供了附录H重大风险隐患及整改情况示例说明。
此次等保测评体系升级,在定级、备案环节分别对数据资产信息、数据分类分级、流转情况等维度作了要求。这一重要变化凸显了数据的价值和重要性,推动了网络安全与数据安全之间的协同发展。
迪普科技数据全生命周期安全解决方案,从数据安全的“识别、防护、监测、响应、恢复”维度,帮助客户进行数据安全的五大核心能力提升,通过数据分类分级、API流量监测等技术帮助用户理清当前数据资产整体状况以及数据间的流转情况,助力用户网络与数据安全实现体系化、可视化、运营化建设。
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...