何威风 2025-05-20 08:45 上海

安小圈

第669期

等保 · 1846号文

2025年4月27日，公安部发布公网安〔2025〕1846号文件，对3月8日部署的网络安全等级保护工作进一步说明，要求各级单位深化系统备案更新、数据资源摸底及风险整改，并对部分关键问题进行了指导说明。数据摸底调查，是这次工作推进的一个重点。数据摸底调查的好坏，直接关乎这次公安部网安局部署工作的成败，所以在开展工作中一定要对数据摸底调查做充分的理解。

问题十四、为什么要通过等级保护备案开展数据摸底调查？

答复：随着《中华人民共和国数据安全法》、《网络数据安全管理条例》发布，数据安全影响日益凸显，为全面摸清数据基本信息、数据使用和数据流动等情况，依托等保备案更新工作专设数据调查表，全力支撑后续监管工作。

（此处，探讨的事数据摸底调查。共公开资料看，公安机关一直致力于将等级保护与数据安全保护做好衔接，如何打通这一关其实在《网络安全等级保护定级指南》（GB/T 22240-2020）中已经做了一些工作，也就是数据资源可以单独定级，但是对于无法单独定级的数据资源并没有妥善处置。而此次摸底工作，则将所有网络系统的数据纳管了，也是等级保护工作与数据安全保护工作进一步磨合与衔接的见证。那么，数据摸底的重要性，在于纳入公安机关网安部门的监管之下，纳管后的数据安全保护合规则以《数据安全法》《网络数据安全管理条例》等作为法律要求。结合《网络安全法》发布的修正案征求意见，我们会发现两个法律将在网络安全和数据安全两个方向持续发力。作为网络运营者，应当提前筹谋以应对强监管时代的到来。）

问题十五、如何组织开展数据摸底调查？

答复：第二级（含）以上网络系统运营者以单位为主体进行填报数据摸底调查表，运营者根据本单位数据分类分级结果填报《网络安全等级保护备案表》中的《数据摸底调查表》并报送至属地公安机关。

（此处探讨了第二级以上网络系统的数据填报，因为该表填表时基于数据分类分级的，也就是网络运营者需要基于《数据安全法》《数据分类分级规则》等法律法规及标准，先期开展一个基础的数据分类分级，在分类分级的基础上，《数据摸底调查表》才更能更容易更科学的填报。否则，报送内容可能存在胡乱填报的可能。也为后期定级备案工作带来不必要的麻烦。因为数据分类分级工作，各个单位尚未全面开展，填报不规范再说难免。所以，网络运营者或者提供安全服务与咨询的第三方需要对数据分类分级有个充分的理解后，再考虑填报《数据摸底调查表》，也只有如此才能将《网络安全等级保护备案表》填写清楚。另外，数据的分类分级也涉及到网络系统的安全保护等级的确定，数据分类分级成为定级的一个前置条件，应当了解清楚。定级备案属于等级保护规定动作，侧面反应，数据分类分级也称为了一种前置强制性要求。）

问题十六、如何填写数据摸底调查表？

答复：数据摸底调查表由网络系统运营者填写，每类数据填写一张，有多类数据的要分别填写。数据类别即本单位数据分类的最小单元类，是该数据项之上的数据类别，例如“金融账户”、“个人交易信息”等，并非是“电话”、“身份证”、“手机号码”等数据项。

（此处，进一步探讨数据分类分级，特别是强调分类。从释疑文件我们看到，应该大量的从业者对数据类别与数据项理解存在偏差。也说明，很多从业者天天口中喊着“数据分类分级”实则对数据分类分级仅仅在字词句上的理解，并未深入去理解数据分类分级。所以，这也将为网络运营者填报《数据摸底调查表》带来隐患，后期更正虽然不见得很难，总归是会带来人员精力上的浪费。

所以，很多时候所谓专业不仅仅是口头上的吹嘘，PPT的花里胡哨，需要静下来好好梳理清楚我们的数据资产，做好数据大类的划分，每类数据又分别归到第几级。至少能明确到“一般数据”“重要数据”“核心数据”，这三个法定级别与等级保护安全保护等级息息相关。

网络（包括信息系统）分为五级，第二级、第三级、第四级、第五级分别属于一般系统、重要系统、极端重要系统。数据的安全级别可以划分为一般数据、重要数据、核心数据，与网络的安全保护级别进行关联，以便网络运营者和数据处理者落实网络安全等级保护制度和数据安全制度。根据数据的种类和级别，制定核心数据和重要数据目录，加强对核心数据和重要数据的保护。）