文章总结： 本文解读2026年等保测评法理依据与全流程合规要点。涵盖系统定级、备案、整改、测评等六大环节，明确重要数据系统定级不低于三级、新增数据敏感度评估等新规。文档详列高风险判定项与合规红线，规定三级系统年测频次及高额罚款标准，为运营者提供极具价值的合规操作指引。 综合评分： 85 文章分类： 政策法规,安全建设,技术标准

---

等保测评的法理依据

原创

国源天顺 国源天顺

国源天顺

2026年3月6日 18:11 北京

01

一、系统定级（流程起点）

1. 核心法律依据

• 《网络安全法》（2026 修订）第二十一条：国家实行网络安全等级保护制度，运营者应按等级履行安全保护义务。
• 《网络安全等级保护条例》（国务院令第 763 号）第二章：明确定级主体、原则、流程与责任。

2. 核心标准 / 文件

GB/T 22240-2025《信息安全技术 网络安全等级保护定级指南》（2025 版，强制）

• 定级要素：受侵害客体（公民 / 法人 / 社会 / 国家）+侵害程度（一般 / 严重 / 特别严重）。

• 五级划分：

• 2026 新规：重要数据系统、关基系统定级不低于三级。

• 一级：损害公民 / 法人合法权益

• 二级：严重损害公民 / 法人权益，或损害社会公共利益

• 三级：严重损害社会公共利益，或损害国家安全

• 四级：特别严重损害社会公共利益，或严重损害国家安全

• 五级：特别严重损害国家安全

• 《网络安全等级保护定级指南（2025 版）》（公安部等保办）

• 新增数据敏感度评估，与系统等级直接挂钩。

• 公网安〔2025〕1846 号：明确三级及以上系统必须专家评审 + 主管部门审批。

3. 2026 必执行条款

定级流程：确定对象→初步定级→专家评审→主管审批→公安备案审查→最终定级。

时限：系统上线30 日内完成定级。

材料：《定级报告》（含专家评审意见）、系统说明、拓扑图、数据分类清单。

---

02

二、系统备案（法定准入）

1. 核心法律依据

《网络安全等级保护条例》第三章：二级及以上系统必须备案，一级无需备案。

《网络安全等级保护备案管理办法》（公网安〔2019〕1523 号）：备案流程、材料、时限、变更。

2. 核心文件（2025–2026 最新）

公网安〔2025〕1001 号：2025 年 11 月 30 日前，所有二级及以上系统按2025 版模板重新备案。

公网安〔2025〕1846 号：

• 《网络安全等级保护备案表（2025 版）》：新增数据分类分级、重要数据清单、跨境数据字段。

• 备案证明有效期 3 年，测评通过自动延长 1 年。

• 系统重大变更（架构、业务、数据）需30 日内重新备案。

3. 2026 必执行条款

备案主体：市级以上公安机关网安部门。

材料清单（2025 版）：

• 《信息系统安全等级保护备案表》

• 《定级报告》（含专家评审表）

• 系统拓扑图、资产清单、数据分类表

• 安全管理制度、应急预案

• 关基 / 重要数据系统需额外提交主管部门审批意见

• 时限：定级完成30 日内提交备案；审核通过15 日内发备案证明。

---

03

三、差距分析（整改前置）

1. 核心依据

GB/T 22239-2025《信息安全技术 网络安全等级保护基本要求》（2025 版，测评直接依据）。

《网络安全等级保护测评高风险判定指引（2025 版）》：明确高风险项清单（一票否决）。

公网安〔2025〕1846 号：测评前必须完成差距分析，形成《差距报告》。

2.2026 必执行条款

差距维度：技术（物理 / 网络 / 主机 / 应用 / 数据）+ 管理（制度 / 人员 / 应急）。

高风险优先项（2025 版）：

• 无数据备份 / 异地备份

• 核心数据未加密

• 日志不可追溯 / 留存不足 6 个月

• 管理员无双因素认证

• 无应急演练 / 预案失效

• 国密改造未覆盖核心系统

• 输出：《差距分析报告》+《整改方案》（明确责任人、时限、验证标准）。

---

04

四、建设整改（合规核心）

1. 核心依据

《网络安全等级保护条例》第三章：运营者必须按等级要求建设整改。

GB/T 25070-2019《信息安全技术 网络安全等级保护设计技术要求》：技术实现规范。

《网络安全等级保护数据安全测评细则（2025 版）》：数据安全专项整改要求。

2. 2026 必执行条款

整改时限：高风险项 30 日内完成，一般问题60 日内闭环。

技术整改要点（2025 版）：

• 管理整改要点：

• 制度：安全策略、账号管理、变更管理、应急响应

• 人员：培训、考核、保密协议

• 演练：每年至少2 次应急演练，留存记录

• 物理：机房门禁、监控、防雷、UPS

• 网络：边界防护、入侵检测、访问控制、流量审计

• 主机：身份鉴别、权限最小化、安全审计、恶意代码防范

• 应用：数据加密、传输加密、日志审计、输入验证

• 数据：分类分级、备份恢复、脱敏、销毁、跨境管控

• 痕迹留存：所有整改过程文档、测试报告、验收记录必须完整可查。

---

05

五、等级测评（法定验证）

1. 核心法律依据

《网络安全法》第二十一条：三级及以上系统每年测评 1 次，四级每半年 1 次。

《网络安全等级保护测评工作管理规定》（公网安〔2019〕1522 号）：测评流程、报告、质量控制。

《网络安全等级保护测评机构管理办法》（公通字〔2019〕19 号）：测评机构资质要求。

2. 核心标准 / 文件（2025–2026 最新）

GB/T 28448-2025《信息安全技术 网络安全等级保护测评要求》（2025 版，强制）。

《网络安全等级测评报告模版（2025 版）》（2025-03-20 起强制，取消百分制）。

公网安〔2025〕1846 号：

• 专项场景指南（2026-02-01 实施）：云原生、边缘计算、大数据、区块链、5G、工业互联网平台测评规范。

• 测评结论：符合 / 基本符合 / 不符合，高风险项直接判定不符合。

• 测评周期：三级每年 1 次，四级每半年 1 次，二级每 2 年 1 次。

3. 2026 必执行条款

测评机构：必须具备公安部等保测评资质（可在 “中国网络安全等级保护网” 查询）。

测评流程：准备→现场测评（技术 + 管理）→报告编制→结论出具。

报告要求（2025 版）：

• 时限：测评完成15 日内出具报告；基本符合需30 日内整改复测。

• 封面、目录、测评范围、依据、方法

• 技术 / 管理测评结果（逐项判定）

• 高风险项清单、整改建议

• 最终结论、测评机构资质、专家签字

---

06

六、复测与持续合规（闭环）

1. 核心依据

《网络安全等级保护条例》第四章：未通过测评必须整改复测。

公网安〔2025〕1001 号：建立持续合规机制，年度自查 + 季度巡检 + 月度监控。

2. 2026 必执行条款

复测：不符合需全面整改后重新测评；基本符合需补充整改后复测。

持续合规：

• 三级及以上系统：每年12 月 31 日前提交《年度保护工作方案》。
• 备案延续：测评通过后，备案证明自动延长 1 年；到期前3 个月申请延期。
• 监督检查：公安部门不定期抽查，重点核查高风险项整改与持续运行情况。

---

07

七、2026 年等保测评全流程条文速查清单（按优先级）

（一）法律 / 法规（必守）

1. 《网络安全法》（2026 修订）第二十一条、第三十一条
2. 《网络安全等级保护条例》（国务院令第 763 号）全章
3. 《关键信息基础设施安全保护条例》（国务院令第 745 号）
4. 《数据安全法》第二十七条、第三十一条
5. 《个人信息保护法》第五十一条

（二）部门规章（必守）

1. 《网络安全等级保护备案管理办法》（公网安〔2019〕1523 号）
2. 《网络安全等级保护测评工作管理规定》（公网安〔2019〕1522 号）
3. 《网络安全等级保护测评机构管理办法》（公通字〔2019〕19 号）

（三）规范性文件（2026 必执行）

1. 公网安〔2025〕1001 号、1846 号（核心执行口径）
2. 《网络安全等级测评报告模版（2025 版）》（强制）
3. 《网络安全等级保护测评高风险判定指引（2025 版）》（一票否决）
4. 《网络安全等级保护数据安全测评细则（2025 版）》
5. 2026 年专项场景指南（云原生、大数据等）

（四）国家标准（测评直接依据）

1. GB/T 22239-2025（基本要求）
2. GB/T 28448-2025（测评要求）
3. GB/T 22240-2025（定级指南）
4. GB/T 25070-2019（设计技术要求）

---

08

八、2026 年合规红线（触碰即罚）

#

未定级备案：二级及以上系统未备案，最高罚100 万元，责任人罚10 万元。

未按时测评：三级系统未每年测评，罚50–500 万元。

高风险项未整改：无数据备份、核心数据未加密等，直接测评不通过，责令停业整改。

使用旧版报告：2025-03-20 后仍用旧版模板，报告无效，需重新测评。

数据安全不合规：未分类分级、未备份、跨境未评估，罚100–1000 万元。

国源天顺科技产业集团成立于2017年，是公安部推荐的专业等级保护测评机构，致力于提供网络安全整体解决方案。

现有客户类型涵盖政府、医疗、连锁、纺织、能源、金融、教育及运营商、互联网等行业领域，赢得网络完全服务市场优异口碑，并凭借自身专业能力，积极参与网络安全相关制度建设。

我们拥有专业等级保护测评师团队、丰富的等级保护项目服务经验，实施周期短，一站式高效率通过等保测评，欢迎咨询交流。热线：13263158653

欢迎关注国源天顺官方公众号

国源天顺科技产业集团 TEL：13263158653

北京市朝阳区绿地中国锦大厦32层

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：国源天顺 国源天顺 国源天顺《等保测评的法理依据》