公安部网络安全等级保护新规解读与实施要点分析
2025年,公安部网络安全局连续印发《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)和《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号),标志着我国网络安全等级保护制度迈向新阶段。本文基于政策原文与专业分析,从核心变化、执行要点及多方责任等维度进行全面梳理。
一、政策定位与核心变化
1. 双文件协同机制
1001号文(2025年3月8日发布)明确了等级保护"六大任务",包括系统备案更新、第五级定级、数据资源摸底、风险隐患排查、保护工作方案制定及资源整合。1846号文(2025年4月27日发布)则进一步细化了24项实操问题,为政策落地提供具体指引。
2. 核心理念转型
- 从"合规达标"到"动态防护":引入"重大风险隐患"概念,强调持续整改与实战化防护。
- 数据与系统并重:将数据资源摸底纳入等级保护备案流程,与《数据安全法》相衔接,体现数据安全监管的深化。
二、关键要求与执行要点
1. 系统备案更新(2025年11月30日截止)
- 范围:所有二级及以上系统需按2025版模板重新备案,无论级别是否变更。
- 专家评审:仅级别变更或重大变化的系统需专家评审,鼓励行业集中组织评审。
- 备案地选择:以安全管理机构所在地优先,跨省系统由省级或指定市级公安机关受理,原公安部备案系统移交北京网安总队。
- 备案证明有效期:统一为3年(从2025年1月1日起算),完成测评自动延期1年,期满需提前3个月申请延期。
2. 第五级系统定级与保护
- 定义:可能对国家安全、地区安全或国计民生造成严重或特别严重损害的系统(如能源管理、金融核心交易、大型互联网平台等)。
- 要求 :
- 备案至省级公安机关;
- 测评参考GB/T 22239-2019第四级要求及GA/T 2182-2024;
- 每年1次测评,非强制国产化改造,按"适度适配"原则升级;
- 作为关键信息基础设施认定的依据,但不等同于关基。
3. 数据资源摸底(2025年11月30日截止)
- 主体:二级及以上系统运营单位需以单位为主体填报;
- 规范:按数据最小类别(如"金融账户""个人交易信息")填写,每类数据单独填表,避免字段级冗余。
4. 风险排查与测评新规
- 高风险判定:依据《网络安全等级保护测评高风险判定实施指引》,结合相关性、严重性、高发性原则综合判断;
- 重大风险隐患影响测评结论:通过符合率和重大风险隐患数量双重维度划分结论等级(符合/基本符合/不符合);
- 整改要求:报告中需标注整改进度(如"10(5个已整改)");
- 模板切换:2025年3月20日后需使用2025版测评模板。
5. 保护工作方案(三级及以上系统强制要求)
- 内容:需涵盖资产情况、现有保护措施、问题成因、整改思路及年度计划;
- 提交节点:2025年6月30日前报送首批方案,后续每年12月31日前提交。
三、对各主体的行动建议
1. 运营单位
- 立即启动系统梳理与数据分类;
- 6月30日前完成三级及以上系统保护工作方案;
- 11月30日前完成备案更新及数据摸底。
2. 行业主管部门
- 组织专家集中评审,制定行业数据分类分级指南;
- 6月30日前收集首批保护工作方案。
3. 测评机构
- 严格使用2025版测评模板;
- 跟踪重大风险隐患整改闭环,协助客户规范填报数据及方案。
四、政策深层次影响
- 数据安全制度化:数据摸底成为备案必备项,推动数据资产台账建设与强制监管;
- 防护能力实质化:以风险隐患整改替代分数达标,强调安全投入实效;
- 责任边界清晰化:备案地规则化解跨区域争议,第五级定义杜绝定级泛化。
五、关键节点提醒
- 2025年6月30日:三级及以上系统保护工作方案首批提交截止;
- 2025年11月30日:系统备案更新与数据资源摸底截止。
结语
公安部双文件的发布标志着网络安全等级保护制度进入精细化、实战化新阶段。各单位需紧扣时间节点,强化数据管理与风险整改,构建持续动态的安全防护体系。唯有通过多方协同,方能筑牢数字时代的安全防线。
内容均来源网上,请自己辨别。