网络安全等级保护测评结束通知书(测评报告+备案回执)办理全要求
一、概念区分
1. 等保测评报告:第三方具备资质测评机构出具,是测评结束核心文书,俗称“测评合格通知书”;
2. 测评报告回执/备案证明:属地公安网安部门审核测评材料后发放,是合规闭环凭证,招投标、APP上架、融资均需同时提供两份文件。
3. 不存在独立“测评结束纸质证书”,合规凭证=测评报告(结论符合)+公安备案回执。
二、出具测评报告(测评结束通知书)前置硬性条件
(一)企业主体与系统基础条件
1. 企业合法经营:营业执照经营范围含软件开发/互联网信息服务,主体与备案主体一致;
2. 系统已完成定级+公安初始备案,持有《网络安全等级保护备案证明》,无备案不能开展测评;
3. 系统服务器、云资源部署中国大陆境内,不使用境外服务器;
4. 业务系统稳定上线运行,可正常登录访问,数据库、后台完整可用;
5. 已部署基础安全设备:防火墙、WAF、日志审计、杀毒终端、账号权限管控。
(二)安全管理材料必须齐全(测评现场核查)
1. 全套安全管理制度:安全责任制、账号权限、数据备份、漏洞管理、应急响应、第三方SDK管理、隐私保护制度;
2. 执行记录:安全培训、应急演练、漏洞整改记录、运维日志留存(≥6个月);
3. 云系统额外:云服务商等保备案证明、服务器托管/租赁协议。
(三)测评机构资质硬性门槛(报告才有效)
1. 测评机构列入全国网络安全等级保护测评机构推荐目录,具备对应等级测评资质;
2. 异地测评机构需提前向本地网安支队报备,否则报告公安不予受理;
3. 测评工程师持有CISP测评证书,全程现场测评(漏洞扫描、渗透、文档核查)。
(四)测评结论合格标准(才能拿到合格版“测评通知书”)
依据GB/T 22239-2019等保2.0标准:
1. 总分≥70分;
2. 无高风险致命漏洞(弱口令、未加密传输、无备份、SQL注入、越权访问等高危项必须全部整改);
3. 中风险漏洞全部整改或出具长期整改计划+管控措施;
4. 技术、管理两大层面控制点达标。
测评结论分三类:符合(合格)、基本符合、不符合;只有「符合」可用于上架、投标、合规检查。

更多资质办理详情可直接在线与方圆盛世客服联系,或电话咨询官方热线:400-090-3278
三、测评结束后,向公安申领《测评报告回执》(官方办结凭证)办理要求
1. 必备全套提交材料(线上/线下窗口)
1. 盖章版《网络安全等级保护测评报告》PDF原件:首页、声明页、系统信息页、测评结论页加盖企业公章+测评机构鲜章;
2. 初始备案材料:《备案表》、定级报告、原备案证明;
3. 企业资质:营业执照、法人身份证、经办人授权委托书;
4. 系统材料:网络拓扑图、安全设备清单、整改前后漏洞对比材料;
5. 云平台APP额外:隐私政策链接、APP工信部备案号、ICP备案证明。
2. 公安受理审核条件
1. 测评报告编号、系统名称、备案编号、企业主体与初始备案完全一致;
2. 报告测评周期在有效期内:二级2年有效、三级1年有效;
3. 高危漏洞整改佐证材料完整,无遗留重大安全风险;
4. 材料全部加盖鲜章,无涂改、缺失页面。
3. 办结产出
公安审核通过后出具测评报告受理回执,更新备案系统状态为“测评合格”,可下载电子回执;部分地区同步更新电子备案证明。
四、二级、三级系统差异化办理要求
等保二级(初创APP、小程序、中小型商城)
1. 测评周期:3–7个工作日;
2. 管理材料简化:基础制度+每年1次应急演练记录即可;
3. 复测周期:每2年一次测评;
4. 公安审核时限:3–5个工作日,材料齐全全程线上办结。
等保三级(百万用户平台、医疗、教育、支付、数据中台)
1. 测评周期:7–15个工作日,需深度渗透测试;
2. 强制额外材料:异地数据灾备方案、全年安全监测记录、个人信息保护影响评估PIA报告;
3. 复测周期:每年必须复测;
4. 公安会不定期现场抽查安全落地情况,材料审核更严格。
五、完整办理流程(从测评到拿到合规凭证)
1. 系统定级 → 公安初始备案,获取备案证明;
2. 部署安全设备、完善安全制度,修复基础漏洞;
3. 委托正规测评机构进场测评,出具差距整改清单;
4. 企业完成高、中风险漏洞整改,复测核验;
5. 测评机构出具结论为“符合”的正式测评报告(测评结束通知书);
6. 向属地网安提交测评报告全套材料;
7. 公安审核通过,发放测评受理回执,备案状态更新;
8. 留存:测评报告+备案回执双份材料,用于APP上架、投标、监管检查。
六、无合格测评通知书的后果
1. 华为/小米/应用宝/苹果商店社交、付费、资讯类APP直接驳回上架;
2. 政企招投标项目直接失去投标资格;
3. 网信、公安专项检查处以10万–100万元罚款,责令暂停业务;
4. 无法申报高新、专精特新、软件产业补贴。
七、常见办理驳回原因
1. 系统未做初始备案直接测评,公安不认可报告;
2. 存在高危漏洞未整改,测评结论为“不符合”;
3. 测评机构无国家认可资质,报告无效;
4. 企业名称、系统名称、备案编号三者信息不一致;
5. 报告缺少企业或测评机构公章;
6. 三级系统无灾备、无年度应急演练记录。




