等保2.0测评中,「测评机构出具测评报告」与「甲方获得完整合规材料」之间往往存在断层。测评机构依据 GB/T 22239-2019 完成系统安全测评后,其报告侧重整体防护能力,不覆盖软件功能、性能、安全漏洞等专项测评内容。甲方若要在验收、招投标、科研结题等场景中提供完整材料链,需要在测评机构不出报告的环节引入第三方软件测评机构。本文解析两阶段测评的衔接逻辑与实操路径。
一、背景:等保测评与软件测评的职责边界
等保2.0测评(网络安全等级保护测评)由具备等保测评资质的专业机构执行,测评对象是「信息系统的整体安全防护能力」,包括物理安全、网络安全、主机安全、应用安全、数据安全等层面。依据 GB/T 22239-2019,测评机构出具的报告核心内容是「安全控制点符合性判定」与「系统整体得分」,不替代软件产品的专项质量测评。
第三方软件测评则由具备 CMA 或 CNAS 资质的检测机构执行,测评对象是「软件产品或系统的功能、性能、安全性、可靠性等质量特性」。依据 GB/T 25000.51-2016 第 5 章要求,测评范围覆盖软件生存周期全过程的质量特性,与等保测评的关注点存在本质差异:前者评估「系统是否满足等级保护要求」,后者评估「软件功能是否符合设计规范、是否存在缺陷」。
两者的关系是「互补」而非「替代」。等保测评给出安全合规结论,软件测评提供技术细节支撑;前者是「合规证明」,后者是「技术证据」。当甲方需要在项目验收、招投标、科技成果鉴定等场景中同时满足质量管理与安全合规要求时,需要同时持有两类报告。
二、问题根源:为什么测评机构不出软件测评报告
甲方常见的困惑是:已经花了钱做等保测评,为什么测评机构不出一份详细的软件测试报告?这个问题的根源在于两者的资质要求与业务范围不同。
1. 资质要求不同
等保测评机构须获得省级以上公安机关网络安全等级保护工作协调小组办公室的推荐,测评能力以「网络安全」为主。第三方软件测评机构须获得 CMA 资质认定或 CNAS 认可,测评能力以「软件质量」为主。两类资质相互独立,不能混用。
2. 测评标准不同
等保测评依据 GB/T 22239-2019 的安全控制点进行符合性判定,采用「高/中/低」等级评分。软件测评依据 GB/T 25000.51-2016 进行功能性、可靠性、易用性等质量特性测评,采用「符合/不符合」或量化评分。两者的测评方法、抽样规则、报告格式均不同。
3. 责任边界不同
等保测评机构对系统整体安全状况负责,测评报告仅对抽样测试的部分安全控制点负责,不对软件全量功能负责。软件测评机构对软件产品质量负责,若甲方要求覆盖所有功能模块的详细测试结果,需另行委托。
三、两阶段测评:合规材料链的构建方法
甲方要构建完整的合规材料链,建议采用「两阶段测评」模式,将等保测评与软件测评明确区隔、分阶段实施。
第一阶段:等保测评(安全合规层)
在系统上线前或运行期间,委托等保测评机构依据 GB/T 22239-2019 完成等级保护测评。此阶段产出:
- 系统安全等级定级报告
- 网络安全等级保护测评报告(含符合性判定与整改建议)
- 整改闭环确认(部分测评机构可提供复测服务)
第二阶段:软件测评(技术质量层)
在软件开发完成或重大版本迭代后,委托具备 CMA / CNAS 资质的第三方软件测评机构完成质量测评。此阶段产出:
- 软件功能列表逐项测试报告
- 性能测试报告(响应时间、并发能力、负载能力)
- 安全性测试报告(漏洞扫描、渗透测试)
- 源代码审计报告(可选)
两阶段测评的衔接关键在于「时间节点」与「材料复用」。等保测评的整改建议中往往涉及「应用软件安全加固」要求,甲方可将整改项清单作为软件测评的输入,快速定位需要优先测评的模块,避免重复测试。
四、数据对照:等保报告与软件测评报告的核心差异
| 对比维度 | 等保测评报告 | 第三方软件测评报告 |
|---|---|---|
| 测评依据 | GB/T 22239-2019 | GB/T 25000.51-2016、GB/T 25000.10-2016 |
| 测评对象 | 信息系统整体安全能力 | 软件产品质量特性(功能、性能、安全等) |
| 报告用途 | 等级保护备案、安全合规证明 | 项目验收、招投标、科技成果鉴定 |
| 出具机构 | 等保测评机构(公安推荐) | CMA / CNAS 资质机构 |
| 测试覆盖率 | 抽样测试,重点安全控制点 | 全量功能测试或约定范围测试 |
| 整改闭环 | 等保机构可提供复测确认 | 可约定免费复测轮次(如 2 轮) |
五、客户实务建议:如何正确衔接两阶段测评
- 在项目规划阶段明确两类报告需求。若项目同时涉及等级保护合规与软件质量验收,应在预算和工期内同时规划等保测评与软件测评,避免验收前临时补做。
- 将等保整改建议作为软件测评输入。等保测评报告中往往会指出应用层的安全漏洞或配置缺陷,甲方可将这些问题模块列为软件安全性测试的重点范围,提高测评效率。
- 确认测评机构资质与报告互认范围。若项目涉及跨省或国际业务,建议优先选择同时持有 CMA + CNAS + ilac-MRA 互认资质的机构,其报告在国内备案与国际认可中均具备法律效力。
- 合理安排测评时序。建议先完成软件开发内部测试,再进行等保测评(避免等保整改影响软件架构),最后由软件测评机构出具正式报告,形成「整改闭环」的完整材料链。
- 保留完整的变更记录与版本说明。测评报告中会记录测试环境与软件版本号,甲方需在后续运维中保持版本一致性,避免报告与实际部署版本脱节导致合规风险。
六、新亿诚的相关服务
新亿诚在「等保2.0测评与软件测评衔接」场景中提供以下支持:
- 独立软件测评报告:依据 GB/T 25000.51-2016 出具 CMA 盖章报告,可作为等保测评整改闭环的技术支撑材料,也可直接用于项目验收、招投标、科技成果鉴定等场景
- 等保整改专项测评:针对等保测评报告中指出的应用层安全问题,提供功能回归测试、安全漏洞复测等定向服务,帮助甲方快速完成整改闭环
- 报告互认与材料整合:协助甲方梳理等保报告与软件测评报告的对应关系,确保两份报告在验收材料中逻辑一致、相互印证
具体的软件测试报告用途与等保2.0陪跑顾问服务可直接联系顾问获取方案建议。报价咨询请提供系统规模、测试范围、报告用途等基本信息,顾问将在 1 个工作日内反馈。