2025开始,等保测评取消打分制!未备份将视为存在重大安全隐患 ,一票否决。
为适应数字中国建设需求,国家网络安全等级保护工作协调小组办公室近日发布《网络安全等级测评报告模板(2025版)》
为适应数字中国建设需求,国家网络安全等级保护工作协调小组办公室近日发布《网络安全等级测评报告模板(2025版)》。
近日,国家网络安全等级保护工作协调小组办公室发布《网络安全等级测评报告模版(2025版)》实施公告。这项将于2025年3月20日生效的新规,不仅重构了沿用15年的测评体系,更首次将数据备份恢复能力纳入"一票否决"式监管指标。作为深耕数据安全领域的中科热备技术专家,我们梳理出企业必须关注的三大核心变革。
相较于2021版,2025版在多个方面进行了重要调整。数据备份恢复更是被列为33个重大风险隐患的触发项之一。下面,让我们一起来看看其中的三个重要变化。
一、取消百分制,推行三级判定体系,安全防护进入"缺陷零容忍"时代
新规最显著的变化是废止了百分制评分体系,转而采用"符合、基本符合、不符合"三级结论判定。这种转变标志着网络安全建设从"分数达标"转向"风险可控"的监管思路升级。
例如2025 版一个重要变化就是取消了自2010年启用的百分制评分,采用三级结论体系。计算方法即:符合率 = (符合项数)/(总要求项数-不适用项数)×100%。
示例:某系统 2021 版得分为 95分(优),在2025 版虽符合率虽然为 98%,但若存在备份缺失的重大隐患,结论仍降为基本符合。
这意味着企业不能再依靠整体高分掩盖个别安全隐患,必须实现安全防护的全要素达标。
二、建立33项重大风险清单 数据备份成必检项
2025 版首次引入"重大风险隐患"量化指标”,新增了《重大风险隐患触发项参照表》和《重大风险隐患及整改情况》 附录明确33项可直接导致评级降档的核心指标。其中第17项"重要数据未建立有效备份机制"被列为高风险触发项,这一规定将直接影响所有二级及以上系统的测评结果。
值得注意的是,依据指标,如果企业对于其重要数据没有做任何的本地备份措施,将被记录有重大风险隐患项,即使符合率≥90%,但仍只能算基本符合,需要根据意见进行整改!!!
此外,在云计算安全扩展表中也要求对数据备份恢复的情况进行是否符合的判定。
据技术细则,企业需同时满足三项基础要求:
核心业务数据必须实施本地化备份,且保留周期不低于灾备方案设计周期
备份数据要具备定期验证机制,确保可恢复性
云环境数据需额外配置跨可用区存储
某金融系统测试案例显示,虽然其符合率达到92%,但因未建立交易日志的备份与完整性校验机制,最终被判定为"基本符合"。这种情况在旧评分体系下仍可获得"良好"评级,但新规实施后必须限期整改。
三、构建全生命周期验证机制 云计算环境设专项审查
2025版,新规特别强化了技术验证的深度与广度。测评机构不仅需要检查备份策略文档,还必须通过现场恢复演练验证备份有效性。在云计算安全扩展部分,新增了4项专属检测项,包括云服务商容灾能力验证、跨区域备份同步测试等硬性指标。
对于采用混合云架构的企业,技术指引给出明确建议:
核心数据库保留本地备份节点
云端备份需配置版本控制功能
每季度执行全量备份恢复测试
建立备份数据加密存取机制
某省级政务云平台在预评估中发现,其分布式存储系统缺少快照回滚功能,虽然现有备份体系覆盖了98%数据量,但依然被判定存在重大隐患。这种情况倒逼技术团队在2个月内完成了存储架构升级。
最后,此次修订标志着等保测评体系迎来重大升级,针对数字化威胁升级作出重要调整!通过 "两细化、三变更、五新增" 的结构性调整,进一步强化了我国网络安全防护体系进入精准化管控阶段。
值得关注的是,新规实施过渡期仅剩10个月。根据行业调研数据显示,目前约63%企业的备份系统存在单点故障风险,41%未建立备份有效性验证机制。建议相关单位立即启动三项准备工作:
对照33项重大风险清单开展自查
重点检测备份系统的覆盖率与可恢复性
对云服务商进行容灾能力二次审计
这次测评体系改革释放出明确的政策信号:数据安全防护正在从"合规导向"转向"实效导向"。企业需要建立动态化、可验证的备份恢复体系,方能在新一轮网络安全建设中赢得发展先机。
热备云,为云做备份,做最专业的备份产品!
中科热备Hot Backup
中科热备(北京)云计算技术有限公司,业界领先的数据保护解决方案和产品提供商,热备云Hot Backup Cloud,为私有云,公有云、混合云,主机系统做保护,应用备份虚拟化技术,可以提供云平台,虚拟机,系统,数据库,文件等作备份和容灾。采用分布式、并行计算的体系架构,可实现超高性能,容量100PB以上,终端几万台,速度每秒20GB以上。