扫码加入知识星球:商密信创等保关保
下载全套资料
本次更新针对2021版报告模板在格式规范、内容要求细化、结构调整、术语变更、体系革新进行更新调整。具体如下:
序号 |
差异 |
概述 |
数量 |
占比 |
1 |
格式规范 |
主要包括页眉页脚、标题格式、正文排版、附件格式等方面 |
6 |
7.1% |
2 |
内容要求细化 |
对报告内容进行改进,增加、删除、补充完善等(如增加统一社会信用代码、增加渗透问题对应条款) |
47 |
56% |
3 |
结构调整 |
整体内容及标题结构调整变更(取消主要安全问题和建议、总体评价放置于正文) |
15 |
17.9% |
4 |
术语变更 |
报告中资产、特定名词术语进行修改或更新(资产类型定义等) |
11 |
13.1% |
5 |
重点革新 |
测评结论、重大风险隐患带来的章节变化 |
5 |
5.9% |
合计 |
84 |
100% |
重点变化1:测评结论判定变化
本次重大更新且影响面比较广的主要是测评结论调整,具体如下:
序号 |
类型 |
2021版 |
2025版 |
1 |
结论 |
优、良、中、差 |
符合、基本符合、不符合 |
2 |
分数 |
“0-100”分 |
取消分数 |
3 |
影响因素 |
分数、问题风险等级 |
符合率、重大风险隐患问题 |
4 |
判定依据 |
优:被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且综合得分90 分以上(含 90 分)。 良:被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且综合得分 80 分以上(含 80 分)。 中:被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且综合得分 70 分以上(含 70 分)。 差:被测对象中存在安全问题,且会导致被测对象面临高等级安全风险,或综合得分低于 70 分。 |
符合:被测系统符合率高于90%,且无重大风险隐患。 基本符合:被测系统符合率高于60%,低于90%;或者符合率为[90%, 100%]且存在重大风险隐患。 不符合:被测系统符合率低于60%。 |
5 |
算分公式 |
|
符合率=单项符合总项数/(该级别要求总项数-不适用项数)*100% |
6 |
特点 |
▷需要结合问题风险等级,高风险为一票否决项; ▷测评条款具有权重,不同条款扣分值不同; ▷一次性通过率低。 |
▷不存在高风险一票否决项; ▷计算方式更加简单直接。 |
案例分析
案例一:
老
2021版测评报告模板
得分98.59分,无“中、高”风险问题,测评结论“优”
新
2025版测评报告模板
符合率:98.63%,若不存在重大隐患问题测评结论“符合”,存在则为“基本符合”
案例二:
老
2021版测评报告模板
得分86.00分,无“高”风险问题,测评结论“良”
新
2025版测评报告模板
2025版测评报告模板:符合率:86.11%,测评结论“基本符合”
案例三:
老
2021版测评报告模板
得分76.28分,无“高”风险问题,测评结论“中”
新
2025版测评报告模板
符合率:83.03%,测评结论“基本符合”
案例四:
老
2021版测评报告模板
得分42.83分,测评结论“差”
新
2025版测评报告模板
符合率:47.54%,测评结论“不符合”
案例五:
老
2021版测评报告模板
得分69.44分,测评结论“差”
新
2025版测评报告模板
符合率:77.42%,测评结论“基本符合”(特点:云租户、二级系统、资产数量少)
重点变化2:增加重大风险隐患问题
1
新增模块的核心变化与要求
1.判定逻辑从单一风险到系统性隐患
传统高风险判例:主要针对单一技术漏洞或管理缺陷进行评估,对安全问题进行危害分析,整改方向明确。
重大风险隐患:在原有'高、中、低”安全风险问题的基础上,基于“相关性原则、严重性原则、高发性原则”进行再次分析,梳理出对本系统具有重大风险隐患的问题,强调系统性风险,需结合多重安全要素综合判定。
2.评估范围扩展至新技术场景
重大风险隐患覆盖物联网、工业控制等新兴领域。
2
对测评单位的新要求
1.测评技术人员能力升级
从传统高风险判例到现在系统性的重大风险隐患评估,测评师需增强整体测评把控的能力。
2.测评工具与方法的更新
需要测评工具在传统测评内容不变的基础上,能够快速上线新功能适配新模块、新要求。
3.报告深度升级
报告的关键内容从单一的分数、高风险项升级为符合率、综合性的重大风险隐患评估,需要测评机构对测评内容和报告内容更深层次的理解。
3
对被测单位新的要求
1.技术防护强化
需建立风险分级管控体系,优先处理重大风险隐患,优化资源配置。
2.系统安全问题透明化
重大风险隐患需在报告中单独列示,明确整改措施和过程,确保安全隐患处理透明化、可追溯。
3.责任单位的主动风险管理
重大风险隐患透明化推动责任单位从被动合规转向主动防御。
综合来看,测评单位:需提升风险综合分析能力,升级测评工具和方法,并加强报告编制的规范性。
责任单位:需建立风险分级管控体系,优先处理重大隐患,优化资源配置;同时完善安全管理制度,把整改工作落地,确保整改措施与业务目标对齐。
格式/内容/结构/术语更新举例
格式规范更新举例:
报告名称的行间距由1变成1.5,封面报告编号行间距由1.5变为1,年月变为年月日
内容要求细化更新举例:
更新渗透测试问题分析维度以及要求:
2021版 |
2025版 |
|
|
结构调整细化更新举例:
总体评价改为放置在第6章,填写说明变化,需描述总测评项及符合、部分符合、不符合、不适用项数量,且增加“表6-1要求项符合情况汇总表”。
2021版 |
2025版 |
|
|
术语更新举例:
附录A.5:表格字段“操作系统/控制软件及版本”改为“操作系统及版本”。
2021版 |
2025版 |
|
|
|来源:兴先道,中检天帷返回搜狐,查看更多
