为深入贯彻落实《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规，以“法治化、规范化、实战化”为总体要求进一步做好网络安全等级保护工作，公安部网安局以国家等保办名义，发布了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)，其中一个目的就是摒弃“重测评结论不重测评质量，重报告分数不重问题整改”的观念，充分发挥等级测评作用，真实反映和客观评价信息系统安全防护水平。要收集掌握测评过程中发现的各类问题隐患，督促运营者及时开展安全建设整改，对共性问题进行专项整治。

然而，在实践中，有些测评机构的部分人，还抱着就黄历，认为存在“重大风险隐患”，不给客户出具测评报告。这些人还停留在21年报告模板的思维中，一知半解就开始发表看法。对新报告模板的要求存在误解、曲解的问题。认为存在高危漏洞或者重大风险隐患不能出具测评报告。

根据最新报告模板描述，被测系统符合率高于90%，且无重大风险隐患，即为“符合”；被测系统符合率高于60%，低于90%；或者符合率为[90%, 100%]且存在重大风险隐患。两种情况，均可为“基本符合”，并存在所谓的“一票否决”的概念，加之现在“重大风险隐患”是从“高风险项”进一步分析的结果，更不能因为“高风险项”就不出具测评报告。

有这种理解的人，要么思维还停留在21版报告模板的影响下，要么就是基于自身利益误导等级保护责任单位和监管部门，歪曲公安部文件精神。将对等级保护市场造成负面影响，同时干扰行业主管部门、公安机关摸底排查大方针大政策。

在政策实施过程中，对于监管来说一直秉持“法无授权不可为”的原则。虽然，等级保护测评结果并不是法定的要求，但是也体现这一原理。既然有新模板，那就是有所依据，有依据不按照依据走，给自己加戏曲解，那么就是违反了原则性问题。

退一步讲，如果需要依赖21版测评报告模板方法论，公安部就无需大费周章去发布25版新的测评报告模板了。再者，公安部此次更新了定级报告模板、备案表、测评报告模板。在这些关键环节或者重点，虽然可能存在瑕疵，但不至于让报告模板与以前的模板发生这种冲突。

各地公安部门，已经要求各测评机构采用最新的测评报告模板，要是因为个人的人故意曲解，进而引发等级测评合规化的反弹，是对公安部文件精神的不负责。

所以，新的规则下，新的思维、新的方法论势在必行，既不能教条主义，但也不能冥顽不化。应该勇于接受新变化，解放思想，促进网络安全等级保护这个基础制度切实落地。

测评报告的其中一个价值就是真实反映和客观评价信息系统安全防护水平，就如同医院体检一样，不能因为某人体检不完美，就不给出具体检报告。或者，违背客观实际篡改体检报告数据。出现这种篡改，篡改者需要承担法律责任的。

再者，测评机构无法左右等级保护责任单位的整改工作。责任单位是否整改，是责任单位需要依法依规落实的工作。同时，监管部门也是依法依规对责任单位是否落实网络安全责任和义务进行监管，测评机构出具的测评报告是一个参考资料。

等级测评是履行等级保护工作中的必要不充分条件。合规一定是开展了等级测评，没有开展测评肯定是违法的，但是开展完等级测评后，仍然不能认为就完全履行完了等级保护义务。真正的等级保护责任义务的履行在于全面合规工作开展需要从规划设计（含定级备案）、建设整改、日常运维。比如规划设计方案是否满足等级保护对应安全级别要求、方案是否满足指导建设整改、建设整改是否严格按照方案执行、执行过程是否留存足够证据、日常运维是否到位、应急演练是否真实、安全策略是否有效、日常管理是否到位、安全培训是否真正落实等等。

我们希望这个行业越来越好，就要真正体现我们的专业性，而不是曲解报告模板，去误导客户。我们应当以一个全新的心态迎接新形势下的网络安全等级保护，给客户以价值以市场以信心，让社会市场认识到等级测评的真实价值，而不是走过场式的“合规”。做过场缺少实际的合规，是“伪合规”，伪合规就是假合规，就是没有合规。那么，法律还是达摩克利斯之剑悬在一众单位头上。只是，谁将成为第一个“吃螃蟹”者、谁将成为这个“幸运儿”罢了。

随着未来《网络安全法》修正案发布，网络运营者的责任和义务将更加艰巨，而且依法依规履行网络安全等级保护、关键信息基础设施安全保护、数据安全保护等制度，将迎来更严厉处罚的时代。我们正好抓住这个时间窗口，做真做实做好网络安全工作，真抓实干做到真正合规，让网络安全的“九年义务”这张试卷卷面分更加好看些。

等级测评结论	判定依据
符合	被测系统符合率高于90%，且无重大风险隐患。
基本符合	被测系统符合率高于60%，低于90%；或者符合率为[90%, 100%]且存在重大风险隐患。
不符合	被测系统符合率低于60%。