文章总结： 文章指出等级保护测评机构需优先确保自身安全合规，根据GB/T36959-2026新规，处理三级及以上系统敏感数据的业务管理系统须符合三级等保要求并采用密码技术保护数据。监管重点从资质审查转向能力建设，测评机构需建立数据分类分级、密码应用及安全运营体系，实现从测别人到先管好自己的生态升级。 综合评分： 75 文章分类： 技术标准,政策法规,安全建设,解决方案,网络安全

---

测评机构的回旋镖来了！测评机构不仅要会“测别人”，更要先“管好自己”

原创

何威风 何威风

河南等级保护测评

2026年6月18日 14:01 河南

在小说阅读器读本章

去阅读

网络安全等级保护之安全物理环境

网络安全等级保护之安全区域边界

网络安全等级保护之安全通信网络

网络安全等级保护之安全计算环境

网络安全等级保护之安全管理中心

网络安全等级保护之安全管理制度

网络安全等级保护之安全管理机构

网络安全等级保护之安全管理人员

长期以来，等级保护测评机构承担着发现问题、评估风险、验证防护能力、指导整改落实的重要职责。在开展测评过程中，往往会接触和掌握大量被测评单位的敏感信息，包括网络拓扑结构、资产清单、安全配置、漏洞隐患、风险分析结果以及整改情况等。这些信息本身就具有较高的敏感性，一旦测评机构自身的信息系统安全防护不到位，不仅可能导致数据泄露，甚至可能成为新的网络安全风险源。因此，测评机构自身的安全能力建设，已经不再是内部管理问题，而是等级保护生态安全的重要组成部分。

在最新发布的《网络安全技术 网络安全等级保护测评机构能力要求和评估规范》（GB/T 36959-2026）中，监管要求进一步明确：测评机构的测评业务相关管理系统若涉及处理被测评单位第三级及以上系统的敏感数据，如网络拓扑、资产信息、安全问题等，应按照最小必要原则进行留存，并采用符合国家密码管理要求的密码技术和密码产品，保障数据在存储过程中的保密性和完整性。同时，相关管理系统原则上应符合三级及以上网络安全等级保护要求，完成定级、备案以及第三方等级测评，测评结论应达到“符合”或“基本符合”，且不存在重大风险隐患。

这一要求看似针对测评业务管理系统，实际上体现了一个非常明确的监管导向——测评机构不仅要会“测别人”，更要先“管好自己”。从某种意义上说，这也形成了一种颇具行业特色的“回旋镖效应”：测评机构平时依据等级保护标准检查客户的制度是否健全、技术措施是否落实、系统是否完成备案和测评，而如今，同样的标准正在更加严格地适用于测评机构自身。

值得一提的是，由于测评机构不能对自身系统开展等级测评，因此必须委托具备资质的第三方测评机构实施测评工作。当然，在正式接受第三方测评之前，完全可以依据等级保护相关标准开展内部自查、自评和整改工作，通过提前发现问题、补齐短板，为后续测评创造更好的基础条件，也有助于获得更加理想的测评结果。

不过，需要特别强调的是，上述要求绝不意味着“完成一次三级等级测评”即可满足要求。很多人容易将关注点放在测评报告上，但监管真正关注的是系统是否持续达到三级等级保护要求。换句话说，等级测评只是检验手段，而不是最终目标。

按照规范要求，涉及处理三级及以上系统敏感数据的业务管理系统，应当按照三级等级保护要求开展整体规划、建设、运行和管理。在技术层面，需要建立完善的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防护、数据备份恢复、密码应用、安全运维等防护体系；在管理层面，需要建立覆盖组织机构、安全管理制度、资产管理、人员管理、供应链管理、运维管理、应急处置等全过程的管理机制；在人、财、物保障层面，则需要配备相应的专职安全管理和技术人员，落实培训考核机制，保障持续的安全投入，配置符合要求的安全设备和运行环境，形成稳定、持续、可验证的安全运营能力。

与此同时，对于测评机构而言，密码应用的重要性也被进一步凸显。规范明确要求采用符合国家密码管理要求的密码技术和产品保护相关数据，这意味着未来不仅要关注数据是否存储，更要关注数据如何存储、如何访问、如何传输以及如何审计，真正实现敏感数据全生命周期的安全管理和可信保护。

从更深层次来看，这反映出监管思路正在从过去偏重资质审查和结果验证，逐步转向能力建设和过程监管。监管关注的重点不再仅仅是测评机构是否拥有开展业务的资格，而是其是否具备持续保障数据安全和网络安全的能力。特别是在《网络安全法》《数据安全法》《个人信息保护法》以及关键信息基础设施安全保护制度持续深化的背景下，测评机构既是网络安全服务提供者，也是重要的数据处理者和安全责任主体。

可以预见，未来测评机构将同时承担两种角色：一方面是等级保护制度的技术支撑力量和实施推动者；另一方面，也将作为被监管对象接受同等标准、同等要求的监督审视。意味着测评机构需要建立更加完善的数据分类分级体系、密码应用体系、安全运营体系和数据全生命周期管理机制，以不低于服务对象的标准建设自身安全能力。

从行业发展的角度看，这不仅是一项具体的合规要求，更代表着等级保护生态的一次成熟升级。过去，行业更多强调“如何测别人”；未来，则更加强调“先达到标准，再评价标准”。真正优秀的测评机构，不仅要能够发现别人的问题，更要能够证明自己具备解决这些问题的能力。某种意义上，这也标志着等级保护工作正在从“测别人”迈向“先管自己，再服务他人”的新阶段。

---

等保、关保、数保、个保，网络安全与数据治理“四位一体”的体系化制度框架

>>>等级保护<<<

网络安全等级保护制度统一框架辨析

网络安全等级保护制度演进，回看2003年27号文

网络安全等级保护制度演进，回看2004年66号文

网络安全等级保护制度演进，回看2006年7号文（过渡性文件）

《等级保护条例》迎来最新进展

网络安全等级保护制度统一框架辨析

网络安全等级保护安全物理环境之防盗窃和防破坏实现

网络安全等级保护物理访问控制实现

信息安全技术 网络安全等级保护测评过程指南

夜读：GB 17859-1999安全保护等级划分准则

等级保护基本要求标准系列

等级保护的数据摸底调查

网络安全等级保护自查清单（对照法条）

由新《网安法》罚则看等级保护、应急安全责任

等级保护的数据摸底调查

以等级保护为中轴线/基础的网络安全监管体系发展

网络运营者等级保护合规自查表

信息安全技术 网络安全等级保护测评过程指南

网络安全等级保护全生命周期一览图

开启等级保护之路：GB 17859网络安全等级保护上位标准

网络安全等级保护：什么是等级保护？

网络安全等级保护：等级保护工作从定级到备案

网络安全等级保护：等级测评中的渗透测试应该如何做

网络安全等级保护：等级保护测评过程及各方责任

网络安全等级保护：政务计算机终端核心配置规范思维导图

网络安全等级保护：信息技术服务过程一般要求

网络安全等级保护：浅谈物理位置选择测评项

闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载

闲话等级保护：什么是网络安全等级保护工作的内涵？

闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求

闲话等级保护：测评师能力要求思维导图

闲话等级保护：应急响应计划规范思维导图

闲话等级保护：浅谈应急响应与保障

闲话等级保护：如何做好网络总体安全规划

闲话等级保护：如何做好网络安全设计与实施

闲话等级保护：要做好网络安全运行与维护

闲话等级保护：人员离岗管理的参考实践

网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

信息安全服务与信息系统生命周期的对应关系

>>>工控安全<<<

工业控制系统安全：信息安全防护指南

工业控制系统安全：工控系统信息安全分级规范思维导图

工业控制系统安全：DCS防护要求思维导图

工业控制系统安全：DCS管理要求思维导图

工业控制系统安全：DCS评估指南思维导图

工业控制安全：工业控制系统风险评估实施指南思维导图

工业控制系统安全：安全检查指南思维导图（内附下载链接）

工业控制系统安全：DCS风险与脆弱性检测要求思维导图

工业安全远程访问渐增引发企业担心

工业巨头 ABB 确认勒索软件攻击、数据盗窃

去年针对工业组织的勒索软件攻击增加了一倍

标准下载：工业控制系统信息安全防护能力成熟度模型GB/T 41400-2022

>>>数据安全<<<

如何共建数据合规治理平台，确保用户数据安全？

数据安全：数据访问治理完整指南

良好数据安全实践推动数据治理的 7 种方式

数据治理和数据安全

数据安全风险评估清单

成功执行数据安全风险评估的3个步骤

美国关键信息基础设施数据泄露的成本

备份：网络和数据安全的最后一道防线

数据安全：数据安全能力成熟度模型

数据安全知识：什么是数据保护以及数据保护为何重要？

信息安全技术：健康医疗数据安全指南思维导图

金融数据安全：数据安全分级指南思维导图

金融数据安全：数据生命周期安全规范思维导图

什么是数据安全态势管理 (DSPM)？

5个常见的数据安全陷阱以及如何避免

数据安全知识：数据库安全威胁

数据安全知识：不同类型的数据库

数据安全知识：数据库简史

数据安全知识：什么是数据出口？

数据安全知识：什么是数据治理模型？

>>>供应链安全<<<

美国政府为客户发布软件供应链安全指南

OpenSSF 采用微软内置的供应链安全框架

供应链安全指南：了解组织为何应关注供应链网络安全

供应链安全指南：确定组织中的关键参与者和评估风险

供应链安全指南：了解关心的内容并确定其优先级

供应链安全指南：为方法创建关键组件

供应链安全指南：将方法整合到现有供应商合同中

供应链安全指南：将方法应用于新的供应商关系

供应链安全指南：建立基础，持续改进。

思维导图：ICT供应链安全风险管理指南思维导图

英国的供应链网络安全评估

网络安全知识：绘制供应链图

网络安全知识：评估供应链管理实践

网络安全知识：评估供应链安全

网络安全知识：供应链攻击4个示例

网络安全知识：英国供应链安全指导12原则

组织网络弹性之旅第9部分：供应链和第三方

网络安全知识：物流业的网络安全

网络安全知识：什么是AAA（认证、授权和记账）？

测试供应链安全的极限

美国NIST 供应链安全指南：10 条要点

软件供应链：黄金集装箱船

>>>其他<<<

网络安全十大安全漏洞

网络安全知识：什么是勒索软件？

Kali Linux 最佳工具之Nmap

云安全策略的10个关键要素

安全从组织内部人员开始

开源代码带来的 10 大安全和运营风险

不能放松警惕的勒索软件攻击

10种防网络钓鱼攻击的方法

5年后的IT职业可能会是什么样子？

累不死的IT加班人：网络安全倦怠可以预防吗？

网络风险评估是什么以及为什么需要

如何减少制造攻击面的暴露

来自不安全的经济、网络犯罪和内部威胁三重威胁

什么是渗透测试，能防止数据泄露吗？

SSH 与 Telnet 有何不同？

管理组织内使用的“未知资产”：影子IT

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 何威风 何威风《测评机构的回旋镖来了！测评机构不仅要会“测别人”，更要先“管好自己”》