等级保护走向严监管，明确测评双方的责任从了解测评过程指南开始

关注公众号

回复“210508” 可自取“测评过程指南思维导图清晰版”

旧话重提，这个文章最初版是21年整理的。

2025年，随着公安部关于等级保护工作的多个文件发布，我们看到了等级保护工作迎来了新变化。同时，公安部也对等级保护测评体系做了调整。鉴于国内内卷式竞争的加剧，破坏市场扰乱市场的案例时有发生，内卷式竞争的弊端不断凸显，同时社会上对等级保护工作的诟病不断加强。预示着，等级保护工作将迎来严监管时代。此前，我常常提严监管的话题，这次应该是真的到来了。

当然，严监管不仅仅是对网络运营者的严监管，还涉及到网络安全产品生产者、网络安全服务提供者，所以在《网络安全法》视角下的所有利益相关方，都需要在法律法规的大框架下，依法依规开展工作。以前，野蛮式的发展，可能无法适应后期变化。

几个契机，仅作探讨。

一是公安部《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)、《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846号)等一系列文件的发布，为后期全面加强网络安全等级保护工作做好了铺垫；二是《网络安全法》修正案迎来再次征求意见，预示着《网络安全法》下的处罚强度得到全面提升；三是《网络安全等级保护条例》呼之欲出，《条例》出台后对于等级保护中责任单位需要落实的定级、备案、建设整改、等级测评等工作，有了法律依据。同时，在建设整改、等级测评过程中，安全产品、服务存在缺陷也将被纳入严监管。

结合以上三点，我们可以大胆推测，公网安〔2025〕1001号的全面更新备案，是为《网络安全法》修正案、《网络安全等级保护条例》做铺垫的，那么一旦法律修订、法规制订发布，网络运营者的法律责任将面临前所未有的压力。

网络运营者一定要明了一个原则，所有的网络安全责任都是自己。任何事情都可以外包，唯独责任无法外包。回到今天的重点，等级测评。

网络运营者作为网络安全责任主体在开展等级测评工作过程中，一定要明白自己需要承担的相关责任，不能认为自己花钱自己就是大爷，啥都有你负责，自己花钱做甩手掌柜。

若要明确这些内容，了解一下测评过程指南是非常有必要的。

首先，在信息化任何项目中工作，都是甲乙双方共同完成。作为网络安全等级保护工作的主体，合规的法律责任义务在责任单位，在测评环节也就是委托测评机构，第三方测评机构承担的则是间接责任。《信息安全等级保护管理办法》中，明确是责任单位开展网络安全等级保护的责任。

测评委托单位作为整个测评工作中的责任主体，更需要了解一些有关测评过程，而不是仅仅测评机构的测评人员需要了解，了解测评过程指南可以很好的理清甲乙双方责任以及测评规范，有助于履行自身责任义务以及监督测评机构开展工作情况，可以更顺畅的配合测评工作，属于应知应会的范畴。

在各类工作中，作为甲方都有依法依规依据标准与合同监督乙方的责任和义务。测评工作也不例外，测评委托单位在测评过程中，也有对测评机构监督的责任。公安机关接收的测评报告，从法理上来说，是接收的测评委托单位送交到公安机关的材料，而若送交材料不符合要求或者存在弄虚作假，则属于测评委托单位工作开展不到位引起，需要承担相应的法律责任。具体运营者与测评机构之间的责任，则由运营者自行与测评机构去协商，协商解决不了的可以走法律途径。

针对很多测评委托单位，还不知道怎么配合测评工作？还不知道什么是测评工作，测评工作嗖的一下就已经结束了，在这个过程中竟然不知道自己如何配合的工作，甚至不知道自己如何配合了工作。

这也就说明，测评委托单位，也就是公安机关称之为责任单位，《网络安全法》中定义为“网络运营者”。并未在测评过程中，尽到自己应有的责任，而是在这个过程中，做了甩手掌柜。只片面希望追求测评好成绩，而不是通过扎实的工作获得最终测评好成绩，其实这是有风险的，一旦出现安全事件，则可能被加重处罚。

一个实际的案例。在某个客户单位，我们完全按照测评过程指南组织开展测评后，客户单位分管领导把我叫到他的办公室。表达了对我们的感谢，他说我们让他第一次看到了什么是等级测评，而此前做的五六年，全是走过场，测评机构的什么时间来的他他不知道，报告咋出的也不知道，稀里糊涂的报告就送到他手里了，更别提报告中的问题如何解决。从这个案例中，我深深体会到不是测评没有价值，而是至少有部分客户也希望他有价值，但是我们如何规范化操作，让测评有价值，成为测评机构需要思考的问题。

我们整理了测评过程指南给出了一些参考，作为测评委托单位的IT人员可以多多参考之。

一定要明确，网络安全工作可以外包，但是法律责任无法外包，工作外包最多能解决经济损失，降低在经济方面的损失，但是解决不了合规责任。公安机关在网络安全事件处罚时，除了经济性处罚，还有行政警告，行政警告是一个定性的处罚，不是一个定量的处罚，对单位对个人的影响没有办法量化的，但是对于责任单位相关人员来说，和自己的利益切实相关的。

本次，我将《信息安全技术网络安全等级保护测评过程指南》整理成思维导图形式，希望能够让大家对此有个大致的了解，不至于工作结束了，拿到测评报告了，不知道自己单位的等级测评工作咋做的。测评报告中的遗留的风险隐患是什么也不知道，整改情况也不知道。有时，可能大家都有千万条理由，千万条借口，但是工作所在职责所在，本身就是需要应知应会东西，责任方面是没有任何推脱的借口和理由的。

在配合测评过程中，很多单位的朋友总是很忙有很多理由，最终测评报告是出来了。在测评过程中，作为责任主体单位不仅仅是配合，还有对三方测评机构的监督职责。

在实际接受公安机关监督检查过程中，我发现大量存在连制度都是松散不成型的，更别谈制度体系了。单位里的所有制度仅仅是“制度”而已，没有方针政策、没有法律法规遵循、没有可以指导实操的操作规程等等。虽然，很多单位号称开展网络安全（等级保护）工作多年，形成的报告写的也非常漂亮。但是，好比国内某项体育运动，中看不中用。又好比一个学渣，只是上了N多年的学，学到多少东西，则不得而知了！

所以，漂亮的报告与讲故事的报告，只能是自欺欺人无法适应当下国际复杂环境下的实战化要求。

测评工作是甲方、乙方双方共同的工作，等级保护测评在落实过程中，尽量是务实而不是务虚。务实尚且还存在无法发现或解决的风险隐患，何况是务虚呢？任何一种务虚行为产生的资料可以理解成是虚假材料，其无论何种层面讲都是无价值的。前面我曾经整理了一篇《》，有兴趣的朋友也可以参考一下。

另外，等级测评工作中，有些测评机构和厂商，会“引导”责任单位通过临时部署设备，用以“满足”测评要求，这种“应付”式的测评存在非常大的隐患，建议各单位在落实工作中看清危害，千万不可饮鸩止渴，弄虚作假可能招致更大的责任。

首先，我们从事网络安全工作的人，都知道各类设备都有日志，发生网络安全事件，一旦监管部门严格执法，日志会将你完全出卖，在这个过程中可能从合规的“单位责任”，演变成弄虚作假的“个人责任”，这种造假糊弄式的“合规”，个人可能面临着被严厉处罚的可能。另外，在配合检查过程中，也发现好多单位从拓扑图方面看似完全符合等级保护对应级别要求，而各类设备常常未合理配置设备策略，但是测评竟然也是表现非常不错，那么测评价值也就演变责任。

等级保护测评只是落实等级保护工作的一个关键环节，不是等级保护工作的全部，更不是等级保护制度的全部。等级保护工作最终要求是通过技术和管理手段提升等级保护对象的整体安全防护能力，所以等级保护测评是等级保护的必要不充分条件。

合规，不是弄虚作假得高分，需要一步一个脚印，踏踏实实落实各项措施，及时跟进内外部环境变化，方能做到真合规。远离伪合规，走进真合规！

如何落实等级保护制度，做好等级保护工作，开展好等级测评工作？联系我吧！咱们一起探讨。让合规走向真实！让责任风险真正最低！

参考文件

《信息安全技术网络安全等级保护基本要求》

《信息安全技术网络安全等级保护测评要求》

《信息安全技术网络安全等级保护测评过程指南》

《网络安全等级保护测评报告模板》（2025版）

—