专家解读丨网络安全等级保护最新要求深度解析
近期,公安部网络安全管理局陆续发布了《关于进一步强化网络安全等级保护相关工作的通知》(公网安〔2025〕1001号)以及《关于对网络安全等级保护相关工作事项进行进一步阐释的通知》(公网安〔2025〕1846号),对网络安全等级保护工作提出了更新的要求并对具体事项进行了详尽的解释,同时指导各相关单位全面深入开展网络安全风险的排查和保护方案的编制等工作。
针对行业主管部门、评估机构以及运营单位所关注的焦点问题,中检天帷立足于第三方评估机构的立场,精心组织了一批专家,对公安部颁布的两大文件进行了详尽的分析与阐释。本文对政策背景及其核心调整、关键执行要求与重点内容、针对不同主体的政策实施建议、政策的深远影响、重要时间节点的注意事项以及常见问题的解答等六个维度进行了详尽剖析,旨在为单位在实际操作中提供有益的借鉴。
政策定位与核心变化
1001号文件,发布于3月8日,对等级保护工作提出了“六大任务”要求,这些任务涵盖了系统备案的更新、第五级安全定级、数据资源的全面摸底、风险隐患的排查工作、制定保护方案以及调动各方资源共同协作等方面。
1846号文件发布于4月27日,对24项具体操作问题进行了详细解释,以消除相关疑虑,并攻克实施过程中的难题。
从“合规达标”向“动态防护”模式过渡,引入“重大风险隐患”这一新概念,以此加强实战化的整改措施。
数据与系统同等重要,我们通过开展等级保护备案的更新工作,对数据资源进行详细梳理,此举与《数据安全法》的精神相契合。
02关键要求解读与执行要点
1 系统备案更新(2025年11月30日截止)
更新范围:
所有二级或更高层级的系统,无论其级别是否有所调整,都必须在2025年11月30日之前,依照2025年的最新模板重新提交备案资料。这一过程相当于为每个系统重新申请“身份证明”,更新核心信息,以便监管机构能够精确了解系统的最新状况。
专家评审要求:
系统变更或重大调整时必须进行专家评估,此外,倡导行业内部联合进行评审活动,以汇聚专业见解,从而提高评审的效能和品质。
备案地选择:
备案“责任田”的属地化管理原则明确界定:安全管理机构所在地的地位高于运维地,若两者不匹配,则以安全管理机构所在地为准;对于跨省的系统,由省级或指定的市级机构负责受理,统一管理标准,并明确责任主体;原公安部的备案系统已平稳过渡至北京网安总队,以此保障管理工作的连续性和稳定性。
备案证明有效期:
统一设定为三年期限,对于2025年之前已备案的系统,自2025年1月1日起将重新开始计算有效期,此举为各机构提供了明确的时间规划;在通过等级测评后,有效期将自动延长一年,以此激励各机构踊跃参与等级保护测评;若需延期至期满后,必须提前三个月向原备案的公安机关提出申请,以确保管理过程中有足够的缓冲时间。
2 第五级系统定级与保护
定义:
若网络系统遭受破坏、功能丧失或数据泄露,可能会对国家的安全、地区的安全,乃至国家的经济民生带来严重或极其严重的损害。
典型场景:
涵盖国家能源管理、交通指挥、金融关键交易以及大型互联网平台等多个关键领域,这些系统的安全犹如国家经济的生命线和大脑中枢,亟需得到严格保护。
执行要求:
备案至省级公安机关;
依据GB/T 22239-2019第四级标准,并着重参照GA/T 2182-2024,力求保证测评工作的科学性和严格性。
每年1次测评,与三四级系统保持一致,形成常态化监测机制;
非强制性的国内改造,遵循“适度适配”的原则进行升级,既确保了安全性能,同时也充分考量的实际运营成本以及技术的实施可能性。
与关基关系:
第五级网络系统作为关键信息基础设施的认定依据至关重要,然而,这一概念与关键信息基础设施本身并非完全相同。这样的界定有助于消除误解,并为实施精确监管提供了明确的指导框架。
3数据资源摸底(2025年11月30日截止)
填报主体:
二级及以上系统的运营主体应以其所属单位为依据进行数据上报,务必保证数据责任归属清晰明确。
填写规范:
依据数据的最小分类(例如“金融账户”“个人交易信息”等),而非具体字段(如“电话”“身份证”“手机号码”等)进行填写,这就像是对数据进行细致的“分类打包”。每一类数据都需独立成表,这样做有助于防止数据杂乱无章,从而为后续的精确监管和高效应用奠定坚实基础。
4风险排查与测评新规
高风险判定依据:
依据《网络安全等级保护测评高风险判定实施指引》,同时结合具体应用场景进行综合评估,力求确保所得到的判定结论与实际风险状况相吻合。
重大风险隐患:
评估标准包括:关注相关度、影响程度、以及频繁出现的特点,以便精确锁定那些对网络安全构成实质性威胁的关键风险点。
测评结果的影响:从符合率及重大风险隐患数量两个角度,对结论进行科学分级,以直观、具体的数据形式呈现网络安全状况,推动各机构对风险和隐患给予关注并主动采取措施进行整改。
测评模板切换:
2025年3月20日后出具的报告须用2025版模板。
整改要求:
报告里需将整改前的“重大风险隐患数量”进行填写,对于已经完成整改的部分,需要特别标注出来(例如:10个隐患中,已有5个得到处理)。这样做有助于监管部门更清晰地了解整改的进展情况,确保整改工作的全面完成和闭环管理。
5保护工作方案(第三级(含)以上系统强制)
内容要求:
资产状况包括互联网资源、基础环境、网络设备、系统软件、网络安全产品等方面,现有安全防护措施、问题产生的原因、整改方案以及后续工作安排等均需详细阐述。从当前状况的分析到未来发展的规划,全面描绘网络安全提升的完整路线图爱游戏最新官网登录入口,以确保各相关单位在网络安全建设过程中有明确的方向和可追溯的步骤。
提交节点:
各运营单位需在2025年6月30日之前上交初步方案;此后,每年12月31日之前必须递交。
03对各主体的优先行动建议
1运营单位
迅速开展系统整理及数据归类工作,精确了解本系统及数据现状,为后续任务奠定坚实基础。
在6月30日之前,需完成包括第三级在内的所有级别系统保护计划的编制,确保方案制作精细,并详细阐述整改的方向与步骤,从而为全年的网络安全工作勾勒出明确的行动指南。
在11月30日之前,必须完成备案的更新和数据的基础调查,务必依照既定的时间表和规范要求,保质保量地完成各项任务,从而保障备案资料和数据资料的精确性与最新性。
2行业主管部门
组织相关单位的专业人士进行集中性评审,汇集行业内的智慧与经验,从而提高评审的水平和效率,进而为整个行业的发展奠定统一的安全标准和提供坚实的保障。
编制数据分类分级行业标准手册,依据各行业特性与实际需求,对数据安全管理进行精确指引,并对数据运用及保护流程进行规范化处理。
在6月30日之前,需征集首份网络安全保护计划爱游戏app官方入口最新版本,以此实时了解各单位的网络安全工作动态爱游戏app入口官网首页,为行业监管提供原始数据,有利于整体规划、协调工作和督促指导。
3测评机构
必须严格执行2025版测评模板,以保证测评流程的标准化和统一性,并向客户呈现精确且可信的测评数据。
对重大风险隐患的整改进行闭环验证,对整改过程进行全程跟踪与核实,旨在确保所有隐患得到彻底消除,构建起整改工作的完整闭环,从而为网络安全提供坚实保障。
为客户提供指导,确保其准确填写数据基础表格及等保工作方案的制定,运用专业特长,增强数据的准确性与实用性,从而为数据安全监管工作提供坚实的保障。
04政策深层次影响
1数据安全制度化
数据摸底调查表已成为等保备案的必要内容,这一变化标志着数据资产管理步入强制监管的新阶段。此举旨在推动各机构加强数据管理,构建健全的数据资产登记簿,从而保障数据来源可追溯、去向可追踪、风险可控制,为数据安全提供坚实保障。
2防护能力实质化
用“重大风险隐患整改”来替换“分数达标”,以期改变过去过分注重形式而忽视实际效果的状况。这一改变促使各机构将安全资金切实用于关键环节,集中精力进行风险隐患的整改,增强网络安全防护水平,确保安全投入不仅可见可触,而且真正产生实效,从而切实加强网络安全防线。
3责任边界清晰化
备案地规定清晰解决了跨区域间的纠纷,使各个单位明确了解应向何方备案、由何方负责监管,从而有效避免了监管上的空白或重叠现象;第五级系统规范严格防止了等级划分的泛化,确保了等级评定工作的科学性和准确性,为网络安全资源的合理分配和有效监管提供了坚实的保障。
05关键节点工作提醒
序号
时间节点
重点工作
2025年6月30日
第三级及以上系统首批保护计划已提交,相关单位需在此之前完成方案制定与报送,以确保全年网络安全工作能够顺利开局、良好起步。
2025年11月30日
系统备案的更新工作以及数据的初步调查工作均已进入收尾阶段,这项任务在年底前必须完成,属于必须达成的“刚性目标”。各相关单位需对工作进度进行逆推,确保能够按期且保质保量地完成备案更新和数据摸底的任务。
2025年12月31日
各单位需将年度保护计划呈递至第三级及以上系统,以此对年度网络安全工作进行总结收尾。在此过程中,各单位需对全年工作进行全方位梳理,并制定来年的工作计划,致力于不断提高网络安全防护能力。
06常见问题答疑
1、系统备案动态更新的工作流程和注意事项?
网络运营方必须对已备案的系统进行全面审查,无论系统是否经历了等级调整,都必须按照2025版评定报告及备案表格的要求重新进行编制和填写,同时依照当地公安机关网络安全部门的规定进行报送。对于已经完成定级备案的系统,一旦出现等级调整或重大变动,必须重新召开专家评审会议,相关行业的主管部门也可以统一组织本行业内的网络系统专家评审会议。原则上,地市级以上公安机关网络安全部门负责接收备案,省级公安机关有权指定符合标准的县级公安机关承担备案工作。当备案单位的工商注册地、实际业务运营地等存在差异时,应以安全管理机构和运维机构所在地为主要备案地;若安全管理机构和运维机构所在地也存在不一致,则优先以安全管理机构所在地为备案地。《网络安全等级保护备案证明》的期限为三年。对于在2025年1月1日之前完成备案的,其期限将从2025年1月1日开始计算。等级测评完成后,期限将自动增加一年。若期限届满后需要继续延期,申请人应在期限届满前三个月内向负责备案的公安机关提出延期申请。
2、跨省或全国联网运行的网络系统怎样选择备案地?
省际、省内不同地市或全国范围内的网络系统,依据属地管理规则,其备案工作由省级公安机关网络安全部门或其指定的地市级公安机关网络安全部门负责;对于由主管部门统一评定等级的省际或全国性联网网络系统,其在全国各地的运行和应用分支,备案工作则由所在地地市级或以上公安机关网络安全部门承担。此前,原公安部的备案系统已顺利移交至北京网安总队。
在第五级系统的定义里,“地区”具体指的是哪个区域?而“严重损害”与“特别严重损害”之间又有哪些区别?
第五级网络系统所讨论的“地区安全”概念中,所涵盖的“地区”范畴囊括了诸如省级行政单位(包括省、自治区、直辖市)、国家级的战略要地(例如东北地区、长三角地区、粤港澳大湾区)以及某些省份内的特定区域(例如安徽省的皖北地区、合肥都市圈)。“严重危害”:若系统遭受破坏,可能导致省级区域内的重要基础设施陷入瘫痪,造成社会秩序的剧烈动荡,以及巨大的经济损失(例如全省电网调度系统出现崩溃)。而“特别严重危害”则指系统破坏的后果跨越省份,甚至可能触发国家级的安全危机(例如全国关键产业供应链的断裂)。
4、第五级系统如何开展等级测评?
目前,第五级网络系统在遵循《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)第四级安全保护标准的前提下,主要依据《信息安全技术 关键信息基础设施安全测评要求》(GA/T 2182—2024)的相关规定,开展第五级网络系统的等级测评活动。第五级网络系统在关键信息基础设施的认定中扮演着核心角色,然而,它并不等同于后者。这样的定义有助于消除误解,并为精确的监管工作搭建了一个明确的框架。
5、组织开展数据摸底调查的原因?
《中华人民共和国数据安全法》与《网络数据安全管理条例》的颁布使得数据安全问题日益受到关注,为了全面掌握数据的基本信息、使用状况以及流动情况,特此在等保备案更新工作中增设数据调查表格,以全力保障后续监管工作的顺利开展。二级及以上网络系统的运营单位需以自身为单位进行数据基础调查,并据此对数据进行分类和分级。随后,他们需填写《网络安全等级保护备案表》中的《数据摸底调查表》,并将填写好的表格提交给所在地区的公安机关。
6、 数据摸底调查表填写要求?
网络系统运营商需填写数据摸底调查表,每类数据对应一表,若涉及多类数据,则需逐一填写。调查表中数据名称的设定主要参照运营单位对数据的最小分类单元,例如,医疗行业系统中的数据名称涵盖电子病历资料、脉象资料等。数据类别系指本单位数据分类体系中的最小组成部分,依据GB/T 43697-2024《数据安全技术数据分类分级规则》的规定,对单位数据进行细致的分类与分级处理,通常包括个人信息、业务资料、视频资料等多个类别。
7、高风险问题与重大风险隐患之间的关系是什么?
2025版测评报告提出了重大风险隐患这一新概念,这标志着网络安全等级保护工作已从“合规达标”阶段过渡到了“动态防护”阶段。我们以问题为指引,促使运营者集中精力解决核心安全问题,并不断优化和改进网络安全防护措施,从而实现网络安全保护能力的全面提升。重大风险隐患中包含着若干高风险问题,这些问题的判定依据包括三个原则:首先,相关性原则,即网络安全等级保护测评中揭示的,可能引发系统面临高风险的安全问题,且对此问题尚未实施任何缓解措施;其次,严重性原则,即安全事件一旦发生,将带来严重后果,如业务中断、关键数据泄露或被篡改,以及获取系统或业务管理权限等;最后,高发性原则,即在实际运行中,由该问题引发的安全事件发生的概率相对较高。对风险隐患的严重性进行综合评估和判定。这种重大风险隐患可能是由单一的高风险问题直接触发的,亦或是由于多个不同层级的安全问题,包括高、中、低风险问题,累积叠加所造成的。
8、网络系统存在高风险问题或重大风险隐患是否影响测评结论?
2025版测评的判定标准具体如下:若被测系统的符合率超过90%且不存在重大风险问题,则评定为合格;若符合率介于60%至90%之间,或者虽然超过90%但存在重大风险隐患,则评定为基本合格;若符合率不足60%,则评定为不合格。据此,只要系统的符合率超过60%,那么测评结果将不受高风险问题或重大风险隐患的影响,统一认定为基本合格。
9、保护工作方案范围及内容包括什么?
三级及以上网络系统的运营主体应当以评定等级的责任单位为核心,提交相应的安全保障计划。该计划应将年度评估中识别出的关键风险和潜在隐患作为核心内容,并在制定过程中综合考虑高中低不同风险等级的问题,对安全保护的实际需求进行全面而细致的梳理与分析。工作方案需涵盖至少以下要素:对资产状况的详尽分析,包括互联网资源、基础环境、网络设备、系统软件及网络安全产品等;当前实施的安全防护措施;问题产生的根源;整改方案及后续行动规划等。在编制过程中,各单位需详尽借鉴相关监管部门的建议,同时紧密联系自身业务实际情况和技术体系,以保障方案的合理性、实施可能性和实用效果。至2025年6月30日,各运营单位需向所在地公安机关提交首批安全保护计划,此后每年12月31日前均需递交。
网络安全等级保护工作对于国家、社会及企业的持续发展至关重要,在公安部最新规定的引领下,我们应当齐心协力,共同推进。我们要以更为严格的标准、更为坚实的举措,合力构建起网络安全的一道坚固屏障,确保在数字化潮流中稳健地前进。
在项目执行阶段若您遇到任何疑问,请随时向中检天帷技术服务中心进行咨询。
本解读依据公安部发布的公网安〔2025〕1001号及1846号文件原文进行,详细内容请点击文末“阅读原文”链接下载相关文件,具体实施细节需遵照各地公安机关的具体规定执行。
