等保2.0核心标准解读:测评要求这样看,一文讲透!
来源:标准和标准化 | 2026-05-07
引言
等保2.0时代,测评报告怎么写?结论怎么定?今天,带你彻底搞懂 GB/T 28448-2019《信息安全技术—网络安全等级保护测评要求》!
💡 文末有福利:文末附测评要求速查表,建议收藏!
一、这份标准到底管什么?
GB/T 28448-2019 是等保测评的"裁判手册"——它告诉你怎么测、测什么、结论怎么给。
标准核心定位
| 项目 | 内容 |
|---|---|
| ------ | ------ |
| **标准编号** | GB/T 28448-2019 |
| **发布日期** | 2019年5月10日 |
| **实施日期** | 2019年12月1日 |
| **适用对象** | 第一级~第四级等级保护对象 |
| **归口单位** | 全国信息安全标准化技术委员会(TC260) |
⚠️ 重要提醒:第五级(专控保护级)不在本标准范围内,有特殊的管理模式和安全测评要求!
二、标准结构:一图搞懂12章内容
第1-4章:基础部分(范围、引用文件、术语、缩略语) ↓ 第5章:等级测评概述(测评基本概念和方法) ↓ 第6-9章:核心部分(一级~四级测评要求) ↓ 第10章:第五级测评要求(简述) ↓ 第11章:整体测评(新增加内容!) ↓ 第12章:测评结论(优、良、中、差四级)
每个级别的"五件套"
每个级别(1-4级)都包含5个组成部分:
| 序号 | 组成部分 | 说明 |
|---|---|---|
| :----: | ---------- | ------ |
| 1 | 安全测评通用要求 | 基础测评要求 |
| 2 | 云计算安全测评扩展要求 | 云环境专用 |
| 3 | 移动互联安全测评扩展要求 | 移动端专用 |
| 4 | 物联网安全测评扩展要求 | IoT设备专用 |
| 5 | 工业控制系统安全测评扩展要求 | 工控系统专用 |
三、测评维度:技术+管理全覆盖
技术层面(5大领域)
| 领域 | 核心内容 |
|---|---|
| ------ | ---------- |
| **安全物理环境** | 机房选址、物理访问控制、防火防水防盗 |
| **安全通信网络** | 网络架构、通信加密、边界防护 |
| **安全区域边界** | 入侵检测、访问控制、恶意代码防护 |
| **安全计算环境** | 身份鉴别、访问控制、安全审计、入侵防范 |
| **安全管理中心** | 集中管理、监控审计、态势感知 |
管理层面(5大方面)
| 方面 | 核心内容 |
|---|---|
| ------ | ---------- |
| **安全管理制度** | 安全策略、管理规范、操作规程 |
| **安全管理机构** | 组织架构、职责分工、岗位设置 |
| **安全管理人员** | 人员录用、培训、离岗管理 |
| **安全建设管理** | 系统建设、安全集成、供应商管理 |
| **安全运维管理** | 变更管理、介质管理、设备维护、漏洞风险管理 |
四、测评三板斧:访谈、核查、测试
这是等保测评的三种核心技术手段,缺一不可!
1️⃣ 访谈——了解"人"怎么想
| 项目 | 内容 |
|---|---|
| ------ | ------ |
| **目的** | 了解信息安全管理现状、人员意识和实际操作 |
| **对象** | 管理层、技术人员、操作人员 |
| **方式** | 一对一访谈、座谈会、问卷调查 |
2️⃣ 核查——验证"制度"怎么配
| 项目 | 内容 |
|---|---|
| ------ | ------ |
| **目的** | 验证安全措施的实际部署和配置情况 |
| **内容** | 文档审核、配置检查、日志分析、制度审查 |
| **依据** | 对照 GB/T 22239-2019 要求逐项核查 |
3️⃣ 测试——检验"技术"怎么用
| 项目 | 内容 |
|---|---|
| ------ | ------ |
| **目的** | 验证安全技术的有效性和可用性 |
| **方式** | 渗透测试、功能测试、漏洞扫描、配置验证 |
| **要求** | 现场测评、模拟攻击、应急演练 |
五、整体测评:等保2.0新增重头戏!
这是等保2.0相比1.0的重大创新!
整体测评三维度
┌─────────────────────────────────────────────────────────────┐ │ 整体测评 │ ├──────────────┬──────────────────┬───────────────────────────┤ │ 安全控制点测评 │ 安全控制点间测评 │ 区域间测评 │ ├──────────────┼──────────────────┼───────────────────────────┤ │ 单个控制点中 │ 同一区域不同控制 │ 互连互通的不同区域 │ │ 所有要求项的 │ 点间的关联分析 │ 之间的关联分析 │ │ 符合程度判定 │ │ │ └──────────────┴──────────────────┴───────────────────────────┘
为什么重要?
💡 核心思想:不能只关注单个控制点,还要从整体角度分析各控制点之间的关联,以及不同区域之间的相互影响!
六、测评结论:优、良、中、差怎么定?
这是等保2.0相比1.0的最大变化之一!
等保1.0 vs 等保2.0 结论对比
| 等保1.0 | 等保2.0 |
|---|---|
| --------- | --------- |
| 符合 | **优**(≥90分) |
| 基本符合 | **良**(≥80分) |
| — | **中**(≥70分) |
| 不符合 | **差**(<70分) |
结论判别标准
| 等级 | 分数 | 判别标准 |
|---|---|---|
| :----: | :----: | ---------- |
| 🏆 **优** | ≥90分 | 存在安全问题,但不会导致中、高等级安全风险 |
| 👍 **良** | ≥80分 | 存在安全问题,但不会导致高等级安全风险 |
| 👌 **中** | ≥70分 | 存在安全问题,但不会导致高等级安全风险 |
| ❌ **差** | <70分 | 存在安全问题,且会导致高等级安全风险 |
⚠️ 重大变化:及格线从60分提高到70分!安全要求更严格了!
七、主要修订亮点(相比2012版)
| 序号 | 亮点 | 说明 |
|---|---|---|
| :----: | ------ | ------ |
| 1️⃣ | **新技术全覆盖** | 新增云计算、移动互联、物联网、工控系统扩展要求 |
| 2️⃣ | **术语规范化** | 新增等级测评、测评对象、云服务商、云服务客户等术语 |
| 3️⃣ | **测评粒度细化** | 从"单元测评"细化为"单项测评",针对要求项逐项判定 |
| 4️⃣ | **整体测评新增** | 强调控制点间和区域间的关联分析 |
| 5️⃣ | **大数据评估** | 新增大数据可参考安全评估方法 |
| 6️⃣ | **报告模板规范** | 新增测评单元编号说明(附录C) |
八、与相关标准的关系
等保2.0标准体系核心"三剑客":
| 标准 | 作用 |
|---|---|
| ------ | ------ |
| GB/T 22239-2019 | **测评指标来源**——告诉你测什么 |
| GB/T 28448-2019 | **测评实施指南**——告诉你怎么测 |
| GB/T 25070-2019 | **安全设计标准**——告诉你怎么建 |
| GB/T 28449-2018 | **测评过程规范**——告诉你测评流程 |
九、实操指南:测评工作这样开展
测评流程五步走
| 步骤 | 阶段 | 核心任务 |
|---|---|---|
| :----: | ------ | ---------- |
| 1 | **准备阶段** | 签订合同、组建团队、收集资料 |
| 2 | **方案编制** | 确定测评对象、测评指标、测评方法 |
| 3 | **现场测评** | 实施访谈、核查、测试 |
| 4 | **分析报告** | 整体测评、编制报告 |
| 5 | **结论交付** | 给出优/良/中/差结论,提供整改建议 |
总结
GB/T 28448-2019 是等保测评工作的"操作手册",核心要点:
| 要点 | 内容 |
|---|---|
| ------ | ------ |
| 📋 **测什么** | 安全技术5大领域 + 安全管理5大方面 |
| 🔧 **怎么测** | 访谈、核查、测试三种手段 |
| 🎯 **整体看** | 不仅看单个控制点,还要看控制点间和区域间的关联 |
| 📊 **结论定** | 优(≥90)、良(≥80)、中(≥70)、差(<70)四级 |
🔗 参考资料: - GB/T 28448-2019《信息安全技术—网络安全等级保护测评要求》 - GB/T 22239-2019《信息安全技术—网络安全等级保护基本要求》 - 公安部网络安全等级保护网📢 声明:本文由「标准和标准化」整理发布,观点仅供参考,以官方标准为准。
来源:标准和标准化 | 作者:标准和标准化
优网科技,优秀企业首选的互联网供应服务商
优网科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!
优网科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、微信小程序定制开发、移动端应用(手机站、APP开发)、微信定制开发(微信官网、微信商城、企业微信)等一系列互联网应用服务。
公安局备案号:
专属顾问
