三级等保测评机构在到现场前,会要求甲方提供一份「软件层面合规材料清单」——其中最常被忽略的是软件测试报告。本文以「等保是触发点、软件测试报告是合规证据」的视角,把两者的衔接讲清楚。注:新亿诚提供 CMA + CNAS 软件测试报告,不出等保测评报告。
一、三级等保为什么要软件测试报告
GB/T 22239-2019 三级等保技术控制要求中,多项条款明确要求「软件应通过测试」——常见出现在:
- 安全计算环境-应用安全(功能符合性、输入校验、错误处理)
- 安全计算环境-数据安全(数据加密、敏感信息保护)
- 安全区域边界-应用层防护(如涉及对外开放接口)
- 安全管理中心-审计日志(应用日志合规性)
测评机构核查这些控制点时,会要求看到软件层面的客观测试证据——这就是软件测试报告。
二、哪些软件需要做测试报告
必做(强制)
- 自研业务系统——核心业务功能、用户数据相关
- 自研 APP / 小程序——涉及用户登录、个人信息处理
- 自研对外开放接口 / API——涉及数据出口
- 自研身份认证系统 / SSO——直接影响整体安全等级
建议做(虽非强制但加分)
- 第三方采购系统——索要厂商的软件测试报告(如厂商无报告可作为采购改进项)
- 云上的 SaaS 服务——索要供应商的测试报告或安全白皮书
- 开源系统二次开发——做二次开发部分的安全测试
不必做
- 商业现成软件(Windows、Office、Oracle 等)
- 开源软件的原版(如未做二次开发)
- 不参与核心业务的工具软件
三、测试报告需要覆盖哪些维度
等保测评机构通常会问:
- 功能符合性测试——证明业务功能按设计运行
- 安全测试——重点
- OWASP Top 10 漏洞扫描
- 身份认证 / 权限控制测试
- 数据加密传输 / 存储测试
- 日志审计有效性测试
- 性能压力测试——并发、响应时间、资源占用
- 兼容性测试——涉及多终端时
- 个人信息保护合规测试(涉及个人信息时)
四、自研系统 vs 采购系统的差异
自研系统
需要在等保整改前主动出具测试报告。建议时间安排:
- 开发完成后 → 软件测试报告(2-4 周)
- 测试报告完成后 → 等保整改(1-3 月)
- 整改完成后 → 等保测评(2-4 周)
- 等保测评完成后 → 报告备案(5 工作日)
采购系统
需要从厂商索取测试报告。重点核查:
- 报告出具机构是否 CMA + CNAS 双资质
- 报告是否针对你采购的具体版本号
- 报告是否在有效期内(6-12 月)
- 报告测试维度是否覆盖等保关注项
厂商无法提供合规报告时的处理:
- 在采购合同中要求厂商配合做测试
- 由甲方委托第三方对采购的软件做测试
- 必要时更换供应商
五、报告复用与归档
同一份报告能用多场景吗
可以。一份合规的软件测试报告通常同时支撑:
- 等保整改材料
- 合同验收材料
- 招投标加分
- 首版次申报
- 政府验收
前提:报告版本号与等保测评的软件版本号一致。
报告有效期
- 常规建议:6-12 个月(用于招投标 / 政府验收)
- 等保场景:1 年内
- 软件版本变更后:报告对新版本失效,需重新测试
报告归档
建议同时保留:
- 盖章纸质版(适合现场审核)
- 加密电子版(适合审计电子档)
- 核验信息(编号 + 二维码 + 出具机构电话)
- 测试期间的原始日志(按 ISO 17025 保留 6 年)
六、常见的踩坑
坑 1:等保测评启动后才发现没有软件测试报告
测评机构进场后才发现需要软件测试报告,临时找机构出报告,时间紧、价格贵、质量难保证。
坑 2:报告版本号与等保测评的软件不一致
测试报告做的是 v1.0,等保测评时软件已经是 v1.3——报告失效。
坑 3:报告维度不全
报告只做了功能测试,没做安全测试。等保测评要求补做。
坑 4:报告盖章不规范
报告只盖了实验室公章,没有 CMA 章。报告对外效力不足。
七、新亿诚在等保前置阶段的服务
新亿诚作为 CMA + CNAS 软件测评机构,针对正在准备等保 2.0 整改的甲方提供:
- 软件测试报告——功能 / 性能 / 安全 / 兼容性 / 个保合规多维度
- 报告时序建议——基于等保测评机构进场时间倒推
- 报告复用咨询——同一份报告如何同时支撑等保 + 招投标 + 验收
- 整改阶段陪跑——配合等保整改时的软件层面问题修复
等保测评本身请联系公安部认证的等级测评机构(djbh.net 查询)。软件测试报告 + 整改陪跑方面的咨询,欢迎联系顾问。
具体的软件测试报告用途与报价咨询可直接联系顾问,1 小时内回电沟通。新亿诚作为持有 CMA + CNAS + ilac-MRA 国际互认协议的第三方软件测评机构,可为您提供本文场景下的检测服务。
