文章总结： 本文依据GB/T28449-2018标准，详细阐述了责任单位在网络安全等级保护测评过程中的五项核心职责。内容涵盖从组织启动、信息提供与准备、现场协调与保障、技术配合到最终结果确认与整改的全流程，并强调委托方是测评报告法律责任的主体。文章还提及了伴随新法规的出台，未来监管可能趋严的趋势。 综合评分： 85 文章分类： 政策法规,安全建设,解决方案,数据安全,网络安全

测评过程中责任单位需要了解的内容

原创

何威风 何威风

河南等级保护测评

2026年3月19日 06:25 河南

根据《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018），责任单位（即定级对象的运营、使用单位或测评委托单位）在开展等级保护测评过程中，需要承担一系列组织、协调、配合和保障职责。依据标准中关于测评准备、方案编制、现场测评以及报告形成等阶段的要求，可归纳为以下五个方面的责任与义务。

第一，承担等级保护测评组织与启动责任。

责任单位应作为测评工作的委托主体，负责启动等级保护测评项目，并与测评机构签署委托测评协议，明确测评目标、范围、人员组成、计划安排、实施步骤以及双方的责任义务。同时，责任单位还需签署保密协议和现场测评授权文件，对测评过程中涉及的系统信息、业务数据及相关资料进行保密管理，并明确测评机构对相关资料的使用范围和权限，以确保测评工作合法合规开展。

第二，承担信息提供与测评准备配合责任。

在测评准备阶段，责任单位需要向测评机构提供定级对象的相关资料和基础信息，例如系统架构、业务情况、安全管理制度、技术配置以及运行维护情况等，以支持测评机构完成信息收集和分析，并协助其编制测评方案。同时，责任单位还需对测评方案及风险规避实施方案进行评审确认，并根据需要部署与生产环境一致的备份环境、测试环境或验证环境，以保障测评工作的顺利实施。

第三，承担现场测评协调与安全保障责任。

在现场测评阶段，责任单位应组织相关部门和技术人员配合测评工作，包括安排专人对接测评人员、协调相关单位提供现场测评授权，并组织召开测评现场首次会议，确保测评内容、计划和方法得到充分沟通。同时，责任单位还需对风险告知书进行签字确认，并提前完成系统和数据备份，制定必要的应急处置措施，以降低测评活动对系统运行和业务连续性的影响。

第四，承担测评实施过程中的技术配合责任。

在具体测评实施过程中，责任单位应安排技术人员配合测评机构开展问询、验证测试和工具测试等活动，对测评人员提出的问题进行如实回答，并在必要时协助完成上机操作和系统验证。同时，责任单位还需协助测评人员实施相关测试并提供业务建议，以降低测试对系统运行的影响，并对测评过程中获取的证据及证据来源进行确认，确保测评证据真实、完整、可追溯。

第五，承担测评结果确认与整改改进责任。

在测评工作结束后，责任单位应对测评过程中产生的证据材料进行确认，并确保现场测试结束后系统设备恢复正常运行状态。同时，责任单位需根据测评机构出具的等级测评报告，对发现的安全问题进行分析评估，并制定整改计划和改进措施，不断提升系统安全防护能力。等级测评报告也是等级保护备案和安全整改的重要依据，因此责任单位还应妥善保存相关文档并组织落实整改。

编者按：无论测评报告是通过谁的手递交给监管部门，其法律责任主体都是委托方，而非被委托方。被委托方只对齐技术活动及管理活动负责，而材料最终的合规性，由委托方负责。委托方在测评过程中是委托方，在监管与被监管过程中，是责任单位。

据说，等级保护新标准正在路上，现在可以大胆地猜测了。“信息安全技术”都会改成“网络安全技术”这个大体系了。伴随着《网络安全法》以及不久后发布的《网络安全等级保护条例》的发布和实行，网络安全等级保护从监管侧更加健全，而建设、运维、测评、运营其实还没有跟上来，一旦严监管到来，很多单位还是面临非常严峻的违规风险。

等级保护概念魔方图

大数据系统等级保护对象的构成

网络安全等级保护自查清单（对照法条）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 何威风 何威风《测评过程中责任单位需要了解的内容》