2026-06-21 04:46:29 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： GB/T36959-2026标准将于2026年12月1日实施，对网络安全等级保护测评机构进行分级管理（Ⅰ至Ⅲ级），要求机构配备持证及专职渗透测试人员，其自身业务系统需满足等保要求，并强化数据全生命周期安全管控与存证固证流程，取消注册资金门槛以更注重技术能力。 综合评分： 85 文章分类： 技术标准,安全建设,政策法规,安全运营,渗透测试

cover_image

【打铁还得自身硬】——《网络安全技术网络安全等级保护测评机构能力要求和评估规范》（GB/T 36959-2026）解读

原创

老林老林

安小圈

2026年6月19日 10:00 上海

在小说阅读器读本章

去阅读

GB/T 36959-2026是等保测评机构的“准入门槛”和“体检标准”，将于2026年12月1日起正式实施，替代旧版。它通过抬高门槛、细分赛道、强化实战，来提升整个测评行业的专业性和公正性。

这套规范把机构分为Ⅰ、Ⅱ、Ⅲ三级（Ⅲ级最高），主要核心要点如下：

分级管理（能力分层）：明确分为三级，级别越高要求越严，能承接的业务也更复杂。这样用户可以根据系统等级，选择对应能力的机构。

人员“持证+实战”（禁止纸上谈兵）：不仅要求测评师持证（如Ⅰ级至少15人，含2名高级、5名中级），还首次明确要求配备专职渗透测试人员，强调发现真实漏洞的能力。

自身安全（打铁还需自身硬）：新规要求机构的业务管理系统（存用户网络拓扑等敏感数据）也得满足等保要求，防止“医生”自身成为突破口。

全流程风控（覆盖全生命周期）：在数据采集、存储、使用等全生命周期环节都提出了安全和保密要求，并要求有明确的风险规避措施。

取消注册资金门槛：删除了旧版对注册资金的硬性要求，更注重技术、人员和质量管理等软实力。

新旧对比：更严、更细

💡 适用对象与影响

机构：需对标升级人员、设备和管理体系。

被测评单位：选机构时可参考其等级，确保合规。

监管方：有了更具体的评估依据。

自身安全”和“全流程风控”细化要求

本次GB/T 36959-2026标准针对“自身安全”和“全流程风控”的细化要求主要落在对机构自身信息系统的合规“压舱石”，以及对测评过程“存证固证”的审计级管控上。

🛡️ 自身安全：从“自身合规”到“供应链安全”

新规不仅要求测评机构自管系统过等保，还延伸到了工具链的安全管控。

平台自身强制等保：若测评业务管理系统涉及处理第三级及以上被测系统的数据（如拓扑、资产信息），该平台原则上必须满足等保三级要求，并完成定级、备案和测评。
工具全生命周期管理：首次将开源工具纳入强监管。要求明确来源版本，禁止使用非官方渠道版本；机构需对开源工具做功能和安全检测认证（需第三方资质），并建立合规状态复核机制。自研工具也必须有开发文档、代码审查及功能安全验证。

⚙️ 全流程风控：侧重“存证固证”与“风险兜底”

新规把风控升级为具备司法效力的“审计级”流程。

硬性引入“存证、固证”：测评活动完成后，所有数据必须通过存证、固证技术归档，确保过程记录、报告等真实可信、不被篡改。
细化全周期数据安全：要求明确写入服务协议、传输存储全程加密、严格访问控制与审计日志、建立备份恢复机制，以及数据安全事件的监测和响应体系。
明确风险兜底机制：渗透测试等高风险操作必须提前书面授权（放弃测试也需盖章声明）。发生重大事件必须按规定报告公安机关，并建立问题自查与追溯机制，对测评后出问题的项目要倒查追责。

💎 总结

简言之，新版规范要求测评机构既要管好自家的系统（过等保、管好工具），更要管好过程的数据（存证、加密、可追溯），实现从“人员盯”到“技术防”的转变。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安小圈老林老林《【打铁还得自身硬】——《网络安全技术网络安全等级保护测评机构能力要求和评估规范》（GB/T 36959-2026）解读》