及格也能有高危，但这几类风险绝对不能碰

2025—2026 年等保测评最大变化，就是取消百分制、不再看分数，改判 “符合 / 基本符合 / 不符合”。很多企业理解歪了：以为 “及格就行、高危也无所谓”。这句话一半对、一半错，企业必须看清底线，否则极易踩坑被罚。

新规核心逻辑是：从 “凑分合规” 转向 “风险导向”。旧规 70 分及格，90 分优秀，很多企业疯狂补文档、堆设备，小问题改一堆，关键漏洞却不动。新规直接废除打分，改用 “符合率 + 重大风险隐患” 双维判定：

• 符合率≥60% 且无不可接受重大风险，可判 “基本符合”（能过）；

• 哪怕符合率 90% 以上，存在重大风险隐患，照样降级甚至不通过。

企业最关心的：高危漏洞到底能不能留？答案：普通高危可以有限度存在，但 “重大风险项” 绝对不能有。新规把风险分成两类：1）可容忍高危：如个别弱口令、部分端口未收紧、配置不规范等。符合率达标、有整改计划，允许暂时保留，测评可通过；2）一票否决重大风险：核心数据无备份、关键系统未加密、日志不足、权限失控、无应急响应、供应链高风险等。只要有一项，直接判定 “不符合”，与分数无关。

对企业来说，新规其实更务实：不用死磕满分，重点抓致命点。建议企业先做风险盘点：把 “数据备份、日志留存、权限管理、核心加密、应急预案” 先做到位，再处理零散高危。小漏洞可排期整改，重大风险必须立即清零。