何威风 2025-05-19 08:45 上海

安小圈

第668期

等保 · 1846号文

2025年4月27日，公安部发布公网安〔2025〕1846号文件，对3月8日部署的网络安全等级保护工作进一步说明，要求各级单位深化系统备案更新、数据资源摸底及风险整改，并对部分关键问题进行了指导说明。

问题七、第五级网络系统的定义？

答复：第五级网络系统是指“对国家安全或地区安全、国计民生造成严重或特别严重损害的网络系统”。

（第五级网络系统的出现，让我们眼前一亮。因为一直以来，在等级保护国家标准GB/T 22239中，第五级一直是“略”。第五级的出现，也顺势将涉及“国家安全或地区安全、国计民生”的网络系统重新定级过程中具有升格的可能性。比如，以往定级为第三级的网络系统，如果当初的受侵害客体为“国家安全”，重新定级过程中基于此前描述，则可能升格为第四级，当然原来的第四级网络系统，部分也可能升格为第五级。在安全防护方面，我们看基本要求，自然会提高防护要求。）

问题八、第五级网络系统定级的适用范围可能包括哪些？

答复：第五级网络系统适用于关系到国家安全、地区安全或国计民生的重要网络系统，例如：国家能源管理系统、交通指挥调度系统、金融核心交易系统、大型互联网平台等。

（此处，虽然也枚举了部分网络系统，不过还是过于粗放。并不能为第五级系统定级提供非常清晰的认知，这点需要行业主管部门进一步探讨与细化，以便为各行各业的第五级定级，提供明朗的参考。）

问题九、第五级网络系统需要到哪里备案？

答复：按照《网络安全等级保护备案实施细则（试行）》要求，第五级网络系统需到省级公安机关网安部门备案。

（此处，提到按照《网络安全等级保护备案实施细则（试行）》，第五级网络系统需到省级公安机关网安部门备案。一则这里还是强调“保护重点”的原则，将第五级的备案安排到省一级备案，另外该细则并未对公众释放，其实“按照”《细则》备案，大致还是可以结合信息系统备案实施细则，两版细则差别并不是太大。）

问题十、第五级网络系统如何开展等级测评？

答复：现阶段第五级网络系统原则上可在《信息安全技术网络安全等级保护基本要求》（GB/T 22239—2019）中第四级安全保护要求基础上，重点参考《信息安全技术关键信息基础设施安全测评要求》（GA/T 2182—2024）中相关要求，执行第五级网络系统等级测评工作。

（此处，给出了GB/T 22239第四级安全保护要求基础之上，参考《信息安全技术关键信息基础设施安全测评要求》（GA/T 2182-2024），这里我感觉应该是基于《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019 ）第四级测评基础之上，参考GA/T 2182-2024中相关要求，执行第五级网络系统等级测评工作，比较妥当。因为这里探讨的测评，如果非要GB/T 22239-2019，那么关基要求则对应《信息安全技术关键信息基础设施安全保护要求》（GB/T 39204-2022 ）。因为前置了一个等级保护“第四级”测评方法论作为基础，同时参考了关基测评，测评工作还是运营者与测评机构来共同完成。）

问题十一、第五级网络系统每年要开展几次等级测评？

答复：第五级网络系统等级测评频率与第三、四级网络系统保持一致，每年开展一次等级测评工作。

（此处，虽然探讨的是第五级网络系统的测评频次，其实也以文件形式把第四级的测评频次明确了。因为，基于《信息安全等级保护管理办法》的内容，是第四级每年至少开展两次等级测评。为什么是至少，因为当网络系统发生重大变更后，测评的对象发生了变化，测评结论已不适用变化后的网络系统；另外，当发生重大网络安全事件时，其实测评过程自然存在未发现的重大风险隐患，需要重新测评找出差距。所以，测评频率每年开展一次，这是一个底线，根据实际情况存在一定的变数。）

问题十二、第五级网络系统是否属于关键信息基础设施？

答复：第五级网络系统是关键信息基础设施（以下简称“关基”）认定的重要因素之一，但第五级网络系统和关基并不是等同关系。第五级网络系统的认定需根据业务信息安全、系统服务安全被破坏时，对侵害客体的侵害程度来确定。而关基的认定则需要根据《关键信息基础设施安全保护条例》中相关认定要求来认定。

（此处，探讨第五级与关基之间的关系，明确了第五级只是“重要因素之一”，所以不能把五级与关基画等号。当然，以前有部分专家把第四级都作关基进行解读的，因为专家的话语权重高，自然也引发了一些社会上的安全企业以及网络运营者的误解。此处，公安部网安局以文明确了这个关系，对我们从业者来说是好的。）

问题十三、系统定级为第五级是否需要进行大规模的资金投入或国产化改造？

答复：第五级信息系统是最重要的系统，关乎国家安全、地区安全或国计民生，以提升安全防护能力为目标，按照“适度适配”的原则，开展网络系统升级改造。不强制要求大规模资金投入或国产化改造。

（此处，探讨了第五级资金投入与国产化改造问题。作为安全厂商、信创企业或密码厂商，自然希望第五级网络系统单位能够大量投入资金进行改造，以获取大金额订单。公安部网安局通过文件进行了解释，给网络运营者一个定心丸，不用为第五级防护产生恐慌。同时，既然升格为第五级，虽然说不需要大规模资金投入改造，但是自然而然不可能比第四级网络系统安全防护投入低，满足第四级同时，兼顾到关基要求时，自然需要合理性的加大投入。具体加大到什么程度，这个需要结合网络系统实际情况以及单位原先基于对应安全等级投入情况，通过差距分析来确定安全整改方案，方案确定投入才能真正确定。所以，在写方案时，一定要基于现状实事求是，否则为后期资金批复困难带来隐患，或者安全问题得不到解决，发生重大网络安全隐患等。

另外，在系统重新更新定级备案过程中，只要级别升格了，基于《基本要求》GB/T 22239自然都涉及在原基础上加大网络安全防护的要求,这个加强也是从技术措施和安全管理两大方面，安全计算环境以及安全运维管理等十个层面展开。）