2025年5月14日,国务院发布《国务院2025年度立法工作计划》,首次将《网络安全等级保护条例》纳入预备制定清单,标志着我国网络安全法律体系迈入新阶段。这是继2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》公开征求意见的公告后,时隔近7年该文件迎来的最新进展。
网络安全等级保护(以下简称“等保”)制度作为网络安全领域的基础框架和核心制度,今年以来,迎来一系列重大工作部署调整,重点聚焦于备案动态管理、第五级网络系统监管、数据摸底调查、测评体系改革等方面。本文结合最新政策文件,系统梳理2025年等保制度的关键进展变化,以期为相关用户开展等保落地工作提供参考。
2025年3月8日
公安部印发《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号),用于指导各单位全面深入开展系统备案更新、数据资源摸底、风险隐患排查以及问题隐患整改等工作,自2025年3月20日起签署的等保测评项目合同,在项目实施中启用《网络安全等级测评报告模板(2025版)》出具测评报告。
2025年4月27日
为推进各项工作落实,公安部印发《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号),就有关工作细则及政策变化作了详细说明,对企业开展网络安全等级保护合规建设具有重要影响。
1
备案管理动态化
有效期机制
《网络安全等级保护备案证明》有效期为三年。
有效期起算时间:2025年1月1日前备案的,有效期自2025年1月1日起算;
自动延期:完成等级测评后,有效期自动延长一年;
申请延期:期满需要延期的,应当于期满前三个月内向受理备案的公安机关申请延期。
备案地确定规则
创新提出“安全管理机构所在地优先”原则,解决云服务、跨区域运营企业的备案争议。
原则上,由市级以上公安机关网安部门受理备案;
省级公安机关可以根据实际情况,指定具有受理备案条件的县级公安机关受理备案;
若安全管理机构与运维所在地不一致的,以安全管理机构所在地为主受理备案;
跨省、跨地(市),或全国联网运行的网络系统,按照属地管理原则由省级公安机关网安部门或其指定的地市级公安机关网安部门受理备案;
跨省或全国统一联网运行并由主管部门统一定级的网络系统,在各地运行、应用的分支系统,由所在地地市级以上公安机关网安部门受理备案。
2
第五级网络系统专项监管
定 义
对国家安全或地区安全、国计民生造成严重或特别严重损害的网络系统。
适用范围
适用于关系到国家安全、地区安全或国计民生的重要网络系统,例如:国家能源管理系统、交通指挥调度系统、金融核心交易系统、大型互联网平台等。
备案受理
省级公安机关网安部门(依据《网络安全等级保护备案实施细则(试行)》)
测评要求
现阶段原则上可在《信息安全技术 网络安全等级保护基本要求》(GB/T22239—2019)中第四级安全保护要求基础上,重点参考《信息安全技术 关键信息基础设施安全测评要求》(GA/T2182—2024)中相关要求,执行等级测评工作。
测评周期
与第三、四级网络系统保持一致,每年开展一次等级测评工作。
与关键信息基础设施的协同机制
明确第五级网络系统是关键信息基础设施认定的重要依据,但二者并不等同;
第五级网络系统的认定需根据业务信息安全、系统服务安全被破坏时,对侵害客体的侵害程度来确定;
关键信息基础设施的认定需独立适用《关键信息基础设施安全保护条例》。
国产化改造要求
不强制要求大规模资金投入或国产化改造;
以提升安全防护能力为目标,按照“适度适配”的原则,开展网络系统升级改造。
3
数据摸底调查
第二级(含)以上网络系统运营者需填报《数据摸底调查表》并报送至属地公安机关。
每类数据填写一张,有多类数据的要分别填写。数据类别即本单位数据分类的最小单元类,是该数据项之上的数据类别。
4
测评体系重大调整
取消分数制
测评结论从“优、良、中、差”改为“符合、基本符合、不符合”三档。
重大风险隐患判断
首次引入重大风险隐患概念,并结合符合率最终评定测评结论。
根据重大风险隐患判定原则(相关性原则、严重性原则、高发性原则)进行综合分析,判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发,还可能是多个高、中、低安全问题的叠加。
结论判定机制
符合率 | 重大风险隐患 | 测评结论 |
>90% | 无 | 符合 |
>90% | 有 | 基本符合 |
60-90% | - | 基本符合 |
<60% | - | 不符合 |
该变化的影响在于,企业未来开展供应商合规评估时,不仅要看其年度测评结论,还要看具体重大风险隐患与合作业务的相关性,以及整改情况。
5
监督检查机制迭代
保护工作方案
第三级(含)以上网络系统运营者需以定级责任单位为主体提交保护工作方案,保护工作方案以年度测评中发现的重大风险隐患为重点,同时统筹考量高中低风险问题,全面梳理分析安全保护需求。
内容及时间
内容涵盖:资产情况(互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等;
报送时间:2025年6月30日前向属地公安机关报送首批保护工作方案。
等保制度通过分等级保护、分等级监管的方式构建网络空间安全防线,监管要求的逐步调整与细化,已形成立法+执行的双轮驱动格局。随着《网络安全等级保护条例》也明确释放出进展消息,将进一步推动企业的网络安全工作从形式合规向实质防护转变,企业需把握合规时间窗口,积极落实等保工作要求,将安全能力转化为竞争优势。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
📍发表于:中国 北京
