近日，GB/T 20274.2-2026《网络安全技术 信息系统安全保障评估框架 第 2 部分：安全保障要求》 国家标准正式落地实施。该标准由中国信息安全测评中心牵头，联合全国四十余家单位共同修订完成，替代 GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008 三项旧版标准，为我国信息系统安全保障能力建设、评估验收划定统一规范。

一、修订背景

当前网络安全威胁迭代加剧，攻击模式日趋复杂，云计算、工业控制、人工智能等新技术、新场景持续落地，信息系统安全已上升为国家安全与产业高质量发展的重要基石。

为全面落地《网络安全法》《数据安全法》《反间谍法》等法律法规要求，适配新时代信息系统安全建设与评价工作需求，业内牵头单位整合多方资源完成本次标准修订。新版标准整合原有分散的技术、管理、工程三类保障要求，打造一体化、全流程的安全保障评估依据，补齐新时期网络安全标准化短板。

二、适用范围

本标准搭建起全国统一的信息系统安全保障评估框架，明确技术保障组件、管理保障组件的各项要求，适用于党政机关、关键信息基础设施运营单位、各类企事业单位开展信息系统安全保障自评估、第三方专业评估等工作，覆盖传统信息系统及各类新兴数字化系统。

三、标准核心三大特点

1.适配性强，支持动态扩展

标准借鉴通用评估准则（CC）设计思路，制定标准化、可复用、可扩展的描述体系与评估方法。不仅适用于传统 IT 系统，还可无缝对接云计算、工业控制、人工智能等新兴业务场景，满足数字产业多元化的安全评估需求。

2.五级分级，引导能力阶梯提升

标准融入能力成熟度模型，围绕组织建设、制度流程、技术工具、人员能力、数据资源五大核心维度，将安全管理保障划分为五个能力等级。不同发展阶段的机构可对标等级要求，循序渐进完成安全能力迭代升级。

3.双重核验，评估结论客观严谨

信息系统安全保障能力等级的认定，需同时满足技术保障充分性与管理保障符合性两大条件。双维度联合判定的模式，让评估结果真实反映系统整体安全状态，规避单一维度评判带来的偏差。

四、标准核心框架与内容

新版标准以信息系统全生命周期为脉络，划分技术保障组件与管理保障组件两大板块，并配套五级能力成熟度等级体系。

（一）两大保障组件体系

技术保障组件

共分为六大类别，采用 “类 - 族 - 组件” 架构设计，机构可结合自身风险现状按需选用，定制适配的技术安全要求。

包含：系统与通信保护、访问控制、标识与鉴别、数据安全、安全审计、物理与环境安全。覆盖边界防护、权限管理、数据加密、脱敏销毁、设备安防、入侵防范等全维度技术安全能力。

管理保障组件

从五大能力维度明确落地要求，分为三大管理类别，贯穿系统规划、建设、运维全流程。

安全管理类：规划、资产、配置、人员、数据安全、供应链、脆弱性管理等；

安全工程类：系统设计、建设、交付全流程管控；

安全运营类：监测预警、应急响应、风险评估、攻防演练、业务连续性、合规检查等。

（二）五级安全保障能力等级

标准设置由低到高五级成熟度等级，清晰定义各阶段安全运营特征，为机构指明升级路径：

L1 基本执行级：以个人经验为主，安全工作随机、被动，实践模式无法复制；

L2 计划跟踪级：可主动规划并落地基础安全工作，但尚未形成体系化机制；

L3 充分定义级：安全工作实现体系化、制度化，流程规范且全面落地；

L4 量化控制级：建立量化管理目标，可对安全工作进行度量、分析与趋势预测；

L5 持续改进级：结合组织整体发展目标，实现安全体系常态化优化迭代。

（三）等级判定规则

各单位可结合业务特性、风险等级设定安全保障目标，分别从技术、管理两大组件中抽取对应要求。系统最终能力等级，必须同时通过技术保障充分性评估、管理保障符合性评估方可认定。

五、标准实施的重要意义

1.赋能运营主体精准提能

五级成熟度体系为各单位提供阶梯式安全升级路线。运营方可对标标准开展自我诊断，定位五大能力维度的短板，结合业务规划分步完成安全能力升级，实现从基础合规到主动防御、持续优化的跨越。

2.规范第三方评估行业

统一的评估框架与判定规则，提升了网络安全第三方评估工作的标准化、规范化水平，保障评估结果的权威性、公正性，推动安全服务行业健康发展。

3.护航新兴数字产业发展

标准具备良好的场景扩展性，可为人工智能、工业互联网、云计算等新兴产业划定安全底线与合规要求。在鼓励技术创新的同时筑牢安全屏障，助力数字经济安全、稳健、可持续发展。

GB/T 20274.2-2026 的发布实施，进一步完善了我国网络安全标准体系，让信息系统安全建设、评估、运维有章可循。未来，我们也将持续关注网络安全、人工智能安全等领域国标、行标更新动态，依托标准化能力，助力各行业单位夯实安全根基，护航数字产业高质量发展。