《关于进一步做好网络安全等级保护有关工作的函》是我国网络安全领域的重要政策文件,标志着网络安全等级保护工作进入新阶段。以下是对该文件的深入解读:
一、政策背景与核心目标
随着数字化进程加速,网络安全威胁日益复杂严峻,传统安全防护模式已难以满足新形势需求。该文件旨在通过优化测评体系、强化技术标准、压实责任链条,构建精准化、智能化的网络安全防护体系,提升国家关键信息基础设施安全保障能力。
二、主要改革举措
1. 测评体系重大升级
取消百分制打分
废除沿用多年的百分制评价模式,采用三级结论体系:符合(符合率≥90%且无重大隐患)、基本符合(60%≤符合率<90%或达标但存隐患)、不符合(符合率<60%)。 动态符合率计算
新增动态符合率公式,明确符合率=(符合项数/总要求项数-不适用项数)×100%,实现测评结果量化评估。
2. 技术标准深度革新
安全架构可视化
要求采用双维度拓扑图示,既包含被测对象内部安全域划分,又需标注其在整体网络架构中的位置关系,提升边界防护评估精度。 渗透测试规范化
明确渗透测试结果必须与标准测评项建立映射关系,重点覆盖身份鉴别、访问控制、数据保密性等核心领域,实现漏洞溯源精准化。 风险评估标准化
升级风险评估标准至GB/T 20984-2022,主要更新包括:
增加云原生环境威胁指标 完善工控系统风险评估模型 细化APT攻击检测标准
3. 风险防控机制创新
重大风险隐患全生命周期管理
构建“识别-评估-整改-追踪”闭环体系,采用CVSS 4.0评分系统对安全隐患进行分级,明确风险等级判定标准。 整改方案三定原则
定级
根据附录G触发项表确定风险等级 定时
明确修复优先级与时间节点 定责
划分整改责任矩阵 整改追踪体系
建立隐患生命周期状态看板、多维度整改效果评估矩阵及复测达标基准线,实现整改过程可视化管控。
三、实施要求与时间节点
新规适用范围
自2025年3月20日起,所有新签署的等保测评项目合同必须全面启用《网络安全等级测评报告模版(2025版)》。 责任主体落实
强调各单位需强化网络信息安全管理,落实防攻击、防病毒、防篡改等保护措施,严格执行7×24小时值守制度。 法律责任强化
根据《网络安全法》修正草案,对拒不履行网络安全保护义务的单位,最高可处一千万元罚款,并责令暂停相关业务。
四、影响与意义
评价导向转变
从“分数至上”转向“实效为王”,推动网络安全防护从形式合规向实质有效转变。 责任体系完善
新增整改追踪模块,强化各方主体责任,形成“测评-整改-复测”的完整责任链条。 技术标准对齐
渗透测试需与新版标准全面对齐,测评工具链需适配新关联规则,推动网络安全技术标准化进程。
五、应对策略建议
组织培训
开展新标准专项培训,确保测评人员掌握双维度拓扑图示、CVSS 4.0评分系统等新要求。 工具升级
及时更新报告生成系统模板,重构与客户沟通的话术体系,确保业务流程与新规无缝衔接。 能力建设
建立重大风险隐患数据库,完善应急处理预案,提升对云原生环境、工控系统等新兴领域的防护能力。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...