公安部发布公网安〔2025〕1846号文件,关于对网络安全等级保护有关共工作事项的进一步说明
一、备案相关问题
1、如何执行系统备案动态更新工作?
全面梳理与重新填报:
答复:运营者需**全面梳理已备案系统**的情况,对于已完成定级备案的第二级(含)以上网络系统,无论网络系统是否涉及级别变更,运营者均需重新依据2025版定级报告和备案表模板进行编写和填报,并及时按照属地公安机关网安部门要求及时报送。
2、系统备案动态更新是否需要组织召开专家评审,组织召开专家评审会的基本原则是什么?
系统备案动态更新的专家评审及组织原则:
答复:已完成定级备案的网络系统若发生级别变更或重大变化的需重新组织召开专家评审会。鼓励行业主管部门集中组织召开本行业内网络系统的专家评审会。
3、统备案单位如何选择备案地?
备案受理主体原则及特殊情况:
- 原则上由地市级以上公安机关网安部门受理备案。
- 省级公安机关可以根据实际情况,指定具有受理备案条件的县级公安机关受理备案。
备案地确定规则:
- 备案单位工商注册登记地、实际业务运营机构所在地、安全管理机构所在地、网络设备所在地等不一致的,以备案单位安全管理机构、运维所在地为主受理备案。
- 若安全管理机构和运维所在地等不一致的,以安全管理机构所在地为主受理备案。
4、跨省或全国联网运行的网络系统如何选择备案地?
属地管辖备案原则:
- 跨省、省内跨地(市),或全国联网运行的网络系统,按照属地管辖原则由省级公安机关网安部门受理备案或其指定地市级公安机关网安部门受理备案。
统一定级分支系统的备案受理安排:
- 跨省或全国统一联网运行并由主管部门统一定级的网络系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的网络),由所在地地市级以上公安机关网安部门受理备案。
5、已定级备案的跨省或全国联网运行的网络系统如何选择备案更新地?
原备案至公安部的网络系统已转交至北京市公安局网安总队进行受理,此次备案动态更新地请咨询北京市公安局网络安全保卫总队。
6、备案证明如何更新及有效期如何确认?
有效期的管理规定:
《网络安全等级保护备案证明》有效期为三年。- 2025年1月1日前备案的,有效期自
2025年1月1日起算。 - 完成等级测评后
有效期自动延长一年。
延期申请的要求:
- 期满需要延期的,应当于
期满前三个月内向受理备案的公安机关申请延期。
二、第五级网络系统相关问题
7、第五级网络系统的定义?
第五级网络系统是指"对国家安全或地区安全、国计民生造成严重或特别严重损害的网络系统"。
8、第五级网络系统定级的适用范围可能包括哪些?
第五级网络系统适用于关系到国家安全、地区安全或国计民生的重要网络系统,例如:国家能源管理系统、交通指挥调度系统、金融核心交易系统、大型互联网平台等。
9、第五级网络系统需要到哪里备案?
按照《网络安全等级保护备案实施细则(试行)》要求,第五级网络系统需到省级公安机关网安部门备案。
10、第五级网络系统如何开展等级测评?
第五级网络系统测评的依据特殊性:
现阶段第五级网络系统原则上可在《信息安全技术网络安全等级保护基本要求》(GB/T22239---2019)中第四级安全保护要求基础上,重点参考《信息安全技术关键信息基础设施安全测评要求》(GA/T2182---2024)中相关要求,执行第五级网络系统等级测评工作。
11、第五级网络系统每年要开展几次等级测评?
测评频率与等级保护体系的协调:
第五级网络系统等级测评频率与第三、四级网络系统保持一致,每年开展一次等级测评工作。
12、第五级网络系统是否属于关键信息基础设施?
非等同关系:
第五级网络系统是关键信息基础设施(关基)认定的重要因素之一,但第五级网络系统和关基并不是等同关系。
认定依据差异:
- 第五级网络系统的认定需根据业务信息安全、系统服务安全被破坏时,对侵害客体的侵害程度来确定。
- 而关基的认定则需要根据《关键信息基础设施安全保护条例》中相关认定要求来认定。
13、系统定级为第五级是否需要进行大规模的资金投入或国产化改造?
升级改造原则:
第五级信息系统是最重要的系统,关乎国家安全、地区安全或国计民生,以提升安全防护能力为目标,按照"适度适配"的原则,开展网络系统升级改造。不强制要求大规模资金投入或国产化改造。
三、数据摸底调查相关问题
14、为什么要通过等级保护备案开展数据摸底调查?
数据安全重要性及监管需求:
随着《中华人民共和国数据安全法》、《网络数据安全管理条例》发布,数据安全影响日益凸显,为全面摸清数据基本信息、数据使用和数据流动等情况,依托等保备案更新工作专设数据调查表,全力支撑后续监管工作。
15、如何组织开展数据摸底调查?
数据摸底调查的填报主体与依据:
第二级(含)以上网络系统运营者以单位为主体进行填报数据摸底调查表,运营者根据本单位数据分类分级结果填报《网络安全等级保护备案表》中的《数据摸底调查表》并报送至属地公安机关。
16、如何填写数据摸底调查表?
数据类别填写的规范性:
数据摸底调查表由网络系统运营者填写,每类数据填写一张,有多类数据的要分别填写。数据类别即本单位数据分类的最小单元类,是该数据项之上的数据类别,例如"金融账户"、"个人交易信息"等,并非是"电话"、"身份证"、"手机号码"等数据项。
四、测评报告与重大风险隐患相关问题
17、高风险问题的主要判定依据是什么?
标准与综合判断相结合:
- 高风险问题的判定主要依据《网络安全等级保护测评高风险判定实施指引》中相关判例。
- 对于未出现在《网络安全等级保护测评高风险判定实施指引》的,经综合判断,可能会造成测评系统出现高风险情况的,也应判断为高风险问题。
18、2025版网络安全等级保护测评报告模版为什么引入重大风险隐患概念?
工作理念转变:
- 引入重大风险隐患概念标志着网络安全等级保护工作从原有的
"合规达标"转变至"动态防护"。 - 通过以问题为导向,推动运营者聚焦核心安全问题优化改进网络安全防护手段,全面提升网络安全保护能力。
19、高风险问题与重大风险隐患之间的关系是什么?
关系界定与综合分析:
- 根据重大风险隐患判定原则(相关性原则、严重性原则、高发性原则)进行综合分析,判断是否为重大风险隐患。
- 重大风险隐患可能由一个高风险问题直接引发,还可能是多个高、中、低安全问题的叠加。
20、网络系统存在高风险问题或重大风险隐患是否影响测评结论?
测评结论判定规则:
网络安全等级测评报告模版(2025版)中测评结论判定规则如下:
- 被测系统符合率高于90%,且无重大风险隐患,判定为符合。
- 测评结论与有无重大风险隐患有关。被测系统符合率高于60%,低于90%,判定为基本符合。在此种情况下,测评结论与有无高风险问题、重大风险隐患无关。
- 被测系统符合率低于60%,判定为不符合。
21、关于启用2025版新报告模板,是以哪个时间节点为准?
报告模板启用时间节点:
- 《网络安全等级测评报告模板(2025版)》的启用以报告出具日期为准。
- 测评报告封面时间为
2025年3月20日之前日期的,测评报告可按照报告模版2021版执行; - 测评报告封面时间为
2025年3月20日之后日期的,测评报告需按照报告模版2025版执行。
22、等级测评结论处"重大风险隐患数量",是按照整改前的数量还是整改后的数量填写?
整改前后情况区分:
- 在《网络安全等级测评报告模板(2025版)》中,等级测评结论处的
"重大风险隐患数量"应按照整改前的数量填写。 - 若重大风险隐患数量已整改,需在测评报告中标注已整改。例:"10(5个已整改)"。
五、保护工作方案
23、保护工作方案范围及内容包括什么?
聚焦重大风险隐患与全面分析相结合:
- 第三级(含)以上网络系统运营者需以定级责任单位为主体提交保护工作方案,保护工作方案以年度测评中发现的重大风险隐患为重点,同时统筹考量高中低风险问题,全面梳理分析安全保护需求。
内容完整性要求:
- 保护工作方案应至少包括但不限于以下内容:资产情况(互网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等。
24、保护工作方案内涉及的资产情况如何上报?
与安保工作的关联及时间节点要求:
为切实做好本年度重大活动安保工作,请各单位于2025年6月30日前向属地公安机关报送首批保护工作方案。