2025年3月8日，公安部网安局发布了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)，对网络安全等级保护工作提出了新要求。

2025年4月27日，公安部网安局发布了《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846号)文件，对3月8日部署的网络安全等级保护工作进一步说明，要求各级单位深化系统备案更新、数据资源摸底及风险整改，并对部分关键问题进行了指导说明。

关于备案，要求各行业严格按流程开展备案更新工作。第二级(含)以上信息系统运营者要编写《网络安全等级保护定级报告》，填报《网络安全等级保护备案表》，到属地公安机关更新等级保护备案。安全保护等级初步确定为第四级(含)以上的信息系统，运营者需组织国家网络安全等级保护专家对定级结果进行评审。

所以，网络运营者一方面要结合《定级指南》与《网络安全等级保护定级报告》模板开展等级保护定级或者重新定级，并按照要求到公安机关更新或者开展备案工作。

数据摸底调查，是这次工作推进的一个重点。数据摸底调查的好坏，直接关乎这次公安部网安局部署工作的成败，所以在开展工作中一定要对数据摸底调查做充分的理解。

全面梳理与重新填报：

运营者需全面梳理已备案系统的情况，对于已完成定级备案的第二级（含）以上网络系统，无论网络系统是否涉及级别变更，运营者均需重新依据2025版定级报告和备案表模板进行编写和填报，并及时按照属地公安机关网安部门要求及时报送。

（此条，就是说无论网络运营者原来是否做过备案，都需要重新开展备案。也就是说，此次更新备案的同时，新规划的网络系统自然也需要开展备案，那么也就是全面梳理、全面备案。按照以往等级保护工作要求，其实公安机关监管时，就涉及备案要求，没有说备案数量。也就是需要全面梳理，梳理过程中也需要梳理第一级网络系统，进行全量梳理，备案方面则是除了第一级网络系统外，自然是所有第二级以上网络系统都需要备案。其实，这点从07年一直都是这种要求。比如，一个单位有十个网络系统，原来仅仅备案了四个网络系统，其实这个过程中对于落实等级保护工作来说，存在合规风险。）

问题二、系统备案动态更新是否需要组织召开专家评审，组织召开专家评审会的基本原则是什么？

系统备案动态更新的专家评审及组织原则：

已完成定级备案的网络系统若发生级别变更或重大变化的需重新组织召开专家评审会。鼓励行业主管部门集中组织召开本行业内网络系统的专家评审会。

（依据《定级指南》的文件指导，需要从业务信息和系统服务两个维度的变化，来确定安全等级的变化，一旦这两个维度发生重大变化，可可以考虑专家评审。如果行业集中开展过定级评审，行业定级文件如果非常明确一定程度上可以支撑定级工作，运营者自身定级工作就比较轻松一点。业务信息或者系统服务侵害的客体，与之前存在一定差异。比如涉及国家安全，原来级别是“三、四、五”，现在级别就变成了“四、五、五”，那么原先级别可能面临调整，原来的第三级可能上升到第四级、第四级可能上升到第五级，那么一旦涉及第四级、第五级的话，专家必须经国家网络安全等级保护专家对定级结果进行评审。）

问题三、备案单位如何选择备案地？

备案受理主体原则及特殊情况：

原则上由地市级以上公安机关网安部门受理备案。省级公安机关可以根据实际情况，指定具有受理备案条件的县级公安机关受理备案。

备案地确定规则：

备案单位工商注册登记地、实际业务运营机构所在地、安全管理机构所在地、网络设备所在地等不一致的，以备案单位安全管理机构、运维所在地为主受理备案。若安全管理机构和运维所在地等不一致的，以安全管理机构所在地为主受理备案。

（这个释疑好处，是把一些云、数据等特殊的网络类型给出了比较好的备案地选择。）

问题四、跨省或全国联网运行的网络系统如何选择备案地？

属地管辖备案原则：

跨省、省内跨地（市），或全国联网运行的网络系统，按照属地管辖原则由省级公安机关网安部门受理备案或其指定地市级公安机关网安部门受理备案。

（一则是属地管辖原则，二则是省级公安机关受理或者指定。）

统一定级分支系统的备案受理安排：

跨省或全国统一联网运行并由主管部门统一定级的网络系统在各地运行、应用的分支系统（包括由上级主管部门定级，在当地有应用的网络），由所在地地市级以上公安机关网安部门受理备案。

问题五、已定级备案的跨省或全国联网运行的网络系统如何选择备案更新地？

原备案至公安部的网络系统已转交至北京市公安局网安总队进行受理，此次备案动态更新地请咨询北京市公安局网络安全保卫总队。

（这里只对原来备案到公安部的网络系统进行了安排，再往下走就没有特殊性了。）

问题六、备案证明如何更新及有效期如何确认？

有效期的管理规定：

《网络安全等级保护备案证明》有效期为三年。2025年1月1日前备案的，有效期自2025年1月1日起算。完成等级测评后有效期自动延长一年。

（备案证明的三年有效期，是一个统一性的安排。最早，其实备案证明以及文件并未明确备案证明有效期，不少省市根据自己的理解进行了有效期设置。这次，统一安排成三年，让各地不在疑惑，是一个不错的设计。同时，等级测评后有效期自动延期一年。

这样，根据现行文件要求，第三级每年至少开展一次等级测评；第二级若要延长备案证明有效期，也可以考虑开展测评。）

延期申请的要求：

期满需要延期的，应当于期满前三个月内向受理备案的公安机关申请延期。

问题七、第五级网络系统的定义？

答复：第五级网络系统是指“对国家安全或地区安全、国计民生造成严重或特别严重损害的网络系统”。

（第五级网络系统的出现，让我们眼前一亮。因为一直以来，在等级保护国家标准GB/T  22239中，第五级一直是“略”。第五级的出现，也顺势将涉及“国家安全或地区安全、国计民生”的网络系统重新定级过程中具有升格的可能性。比如，以往定级为第三级的网络系统，如果当初的受侵害客体为“国家安全”，重新定级过程中基于此前描述，则可能升格为第四级，当然原来的第四级网络系统，部分也可能升格为第五级。在安全防护方面，我们看基本要求，自然会提高防护要求。）

问题八、第五级网络系统定级的适用范围可能包括哪些？

答复：第五级网络系统适用于关系到国家安全、地区安全或国计民生的重要网络系统，例如：国家能源管理系统、交通指挥调度系统、金融核心交易系统、大型互联网平台等。

（此处，虽然也枚举了部分网络系统，不过还是过于粗放。并不能为第五级系统定级提供非常清晰的认知，这点需要行业主管部门进一步探讨与细化，以便为各行各业的第五级定级，提供明朗的参考。）

问题九、第五级网络系统需要到哪里备案？

答复：按照《网络安全等级保护备案实施细则（试行）》要求，第五级网络系统需到省级公安机关网安部门备案。

（此处，提到按照《网络安全等级保护备案实施细则（试行）》，第五级网络系统需到省级公安机关网安部门备案。一则这里还是强调“保护重点”的原则，将第五级的备案安排到省一级备案，另外该细则并未对公众释放，其实“按照”《细则》备案，大致还是可以结合信息系统备案实施细则，两版细则差别并不是太大。）

问题十、第五级网络系统如何开展等级测评？

答复：现阶段第五级网络系统原则上可在《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）中第四级安全保护要求基础上，重点参考《信息安全技术 关键信息基础设施安全测评要求》（GA/T 2182—2024）中相关要求，执行第五级网络系统等级测评工作。

（此处，给出了GB/T 22239第四级安全保护要求基础之上，参考《信息安全技术 关键信息基础设施安全测评要求》（GA/T 2182-2024），这里我感觉应该是基于《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019 ）第四级测评基础之上，参考GA/T 2182-2024中相关要求，执行第五级网络系统等级测评工作，比较妥当。因为这里探讨的测评，如果非要GB/T 22239-2019，那么关基要求则对应《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022 ）。因为前置了一个等级保护“第四级”测评方法论作为基础，同时参考了关基测评，测评工作还是运营者与测评机构来共同完成。）

问题十一、第五级网络系统每年要开展几次等级测评？

答复：第五级网络系统等级测评频率与第三、四级网络系统保持一致，每年开展一次等级测评工作。

（此处，虽然探讨的是第五级网络系统的测评频次，其实也以文件形式把第四级的测评频次明确了。因为，基于《信息安全等级保护管理办法》的内容，是第四级每年至少开展两次等级测评。为什么是至少，因为当网络系统发生重大变更后，测评的对象发生了变化，测评结论已不适用变化后的网络系统；另外，当发生重大网络安全事件时，其实测评过程自然存在未发现的重大风险隐患，需要重新测评找出差距。所以，测评频率每年开展一次，这是一个底线，根据实际情况存在一定的变数。）

问题十二、第五级网络系统是否属于关键信息基础设施？

答复：第五级网络系统是关键信息基础设施（以下简称“关基”）认定的重要因素之一，但第五级网络系统和关基并不是等同关系。第五级网络系统的认定需根据业务信息安全、系统服务安全被破坏时，对侵害客体的侵害程度来确定。而关基的认定则需要根据《关键信息基础设施安全保护条例》中相关认定要求来认定。

（此处，探讨第五级与关基之间的关系，明确了第五级只是“重要因素之一”，所以不能把五级与关基画等号。当然，以前有部分专家把第四级都作关基进行解读的，因为专家的话语权重高，自然也引发了一些社会上的安全企业以及网络运营者的误解。此处，公安部网安局以文明确了这个关系，对我们从业者来说是好的。）

问题十三、系统定级为第五级是否需要进行大规模的资金投入或国产化改造？

答复：第五级信息系统是最重要的系统，关乎国家安全、地区安全或国计民生，以提升安全防护能力为目标，按照“适度适配”的原则，开展网络系统升级改造。不强制要求大规模资金投入或国产化改造。

（此处，探讨了第五级资金投入与国产化改造问题。作为安全厂商、信创企业或密码厂商，自然希望第五级网络系统单位能够大量投入资金进行改造，以获取大金额订单。公安部网安局通过文件进行了解释，给网络运营者一个定心丸，不用为第五级防护产生恐慌。同时，既然升格为第五级，虽然说不需要大规模资金投入改造，但是自然而然不可能比第四级网络系统安全防护投入低，满足第四级同时，兼顾到关基要求时，自然需要合理性的加大投入。具体加大到什么程度，这个需要结合网络系统实际情况以及单位原先基于对应安全等级投入情况，通过差距分析来确定安全整改方案，方案确定投入才能真正确定。所以，在写方案时，一定要基于现状实事求是，否则为后期资金批复困难带来隐患，或者安全问题得不到解决，发生重大网络安全隐患等。

另外，在系统重新更新定级备案过程中，只要级别升格了，基于《基本要求》GB/T 22239自然都涉及在原基础上加大网络安全防护的要求,这个加强也是从技术措施和安全管理两大方面，安全计算环境以及安全运维管理等十个层面展开。）

答复：随着《中华人民共和国数据安全法》、《网络数据安全管理条例》发布，数据安全影响日益凸显，为全面摸清数据基本信息、数据使用和数据流动等情况，依托等保备案更新工作专设数据调查表，全力支撑后续监管工作。

（此处，探讨的事数据摸底调查。共公开资料看，公安机关一直致力于将等级保护与数据安全保护做好衔接，如何打通这一关其实在《网络安全等级保护定级指南》（GB/T 22240-2020）中已经做了一些工作，也就是数据资源可以单独定级，但是对于无法单独定级的数据资源并没有妥善处置。而此次摸底工作，则将所有网络系统的数据纳管了，也是等级保护工作与数据安全保护工作进一步磨合与衔接的见证。那么，数据摸底的重要性，在于纳入公安机关网安部门的监管之下，纳管后的数据安全保护合规则以《数据安全法》《网络数据安全管理条例》等作为法律要求。结合《网络安全法》发布的修正案征求意见，我们会发现两个法律将在网络安全和数据安全两个方向持续发力。作为网络运营者，应当提前筹谋以应对强监管时代的到来。）

问题十五、如何组织开展数据摸底调查？

答复：第二级（含）以上网络系统运营者以单位为主体进行填报数据摸底调查表，运营者根据本单位数据分类分级结果填报《网络安全等级保护备案表》中的《数据摸底调查表》并报送至属地公安机关。

（此处探讨了第二级以上网络系统的数据填报，因为该表填表时基于数据分类分级的，也就是网络运营者需要基于《数据安全法》《数据分类分级规则》等法律法规及标准，先期开展一个基础的数据分类分级，在分类分级的基础上，《数据摸底调查表》才更能更容易更科学的填报。否则，报送内容可能存在胡乱填报的可能。也为后期定级备案工作带来不必要的麻烦。因为数据分类分级工作，各个单位尚未全面开展，填报不规范再说难免。所以，网络运营者或者提供安全服务与咨询的第三方需要对数据分类分级有个充分的理解后，再考虑填报《数据摸底调查表》，也只有如此才能将《网络安全等级保护备案表》填写清楚。另外，数据的分类分级也涉及到网络系统的安全保护等级的确定，数据分类分级成为定级的一个前置条件，应当了解清楚。定级备案属于等级保护规定动作，侧面反应，数据分类分级也称为了一种前置强制性要求。）

问题十六、如何填写数据摸底调查表？

答复：数据摸底调查表由网络系统运营者填写，每类数据填写一张，有多类数据的要分别填写。数据类别即本单位数据分类的最小单元类，是该数据项之上的数据类别，例如“金融账户”、“个人交易信息”等，并非是“电话”、“身份证”、“手机号码”等数据项。

（此处，进一步探讨数据分类分级，特别是强调分类。从释疑文件我们看到，应该大量的从业者对数据类别与数据项理解存在偏差。也说明，很多从业者天天口中喊着“数据分类分级”实则对数据分类分级仅仅在字词句上的理解，并未深入去理解数据分类分级。所以，这也将为网络运营者填报《数据摸底调查表》带来隐患，后期更正虽然不见得很难，总归是会带来人员精力上的浪费。

所以，很多时候所谓专业不仅仅是口头上的吹嘘，PPT的花里胡哨，需要静下来好好梳理清楚我们的数据资产，做好数据大类的划分，每类数据又分别归到第几级。至少能明确到“一般数据”“重要数据”“核心数据”，这三个法定级别与等级保护安全保护等级息息相关。

网络（包括信息系统）分为五级，第二级、第三级、第四级、第五级分别属于一般系统、重要系统、极端重要系统。数据的安全级别可以划分为一般数据、重要数据、核心数据，与网络的安全保护级别进行关联，以便网络运营者和数据处理者落实网络安全等级保护制度和数据安全制度。根据数据的种类和级别，制定核心数据和重要数据目录，加强对核心数据和重要数据的保护。）

问题十七、高风险问题的主要判定依据是什么？

答复：高风险问题的判定主要依据《网络安全等级保护测评高风险判定实施指引》中相关判例。对于未出现在《网络安全等级保护测评高风险判定实施指引》的，经综合判断，可能会造成测评系统出现高风险情况的，也应判断为高风险问题。

（此处，探讨的是“高风险”问题，高风险是通过客观综合判定的结果，但是在实际操作中又会夹杂着太多的主观因素。基于此，中关村信息安全测评联盟发布了《网络安全等级保护测评高风险判定指引》，该指引对大部分的高风险给出了解释。鉴于指引并不能全面覆盖所有高风险，有经验的网络安全从业人员或者等级测评师，也可以通过综合判断，来确定《网络安全等级保护测评高风险判定指引》之外的风险项，给出级别判定最终确定是否为高风险项。）

问题十八、2025版网络安全等级保护测评报告模版为什么引入重大风险隐患概念？

答复：引入重大风险隐患概念标志着网络安全等级保护工作从原有的“合规达标”转变至“动态防护”。通过以问题为导向，推动运营者聚焦核心安全问题优化改进网络安全防护手段，全面提升网络安全保护能力。

问题十九、高风险问题与重大风险隐患之间的关系是什么？

答复：根据重大风险隐患判定原则（相关性原则、严重性原则、高发性原则）进行综合分析，判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发，还可能是多个高、中、低安全问题的叠加。

（此两条，在以问题为导向的大方向要求下，引入的“重大风险隐患”概念。重大风险隐患需要测评师，特别是中级测评师具备安全分析能力，结合重大风险隐患判定原则。可以是一对一，多对一的情况，安全问题单独可能为低，但一旦叠加影响范围扩大，可能上升安全风险。所以，难点在于多个高、中、低安全问题如何产生彼此削弱的关系，最终形成重大风险隐患。）

问题二十、网络系统存在高风险问题或重大风险隐患是否影响测评结论？

答复：网络安全等级测评报告模版（2025版）中测评结论判定规则如下：

被测系统符合率高于90%，且无重大风险隐患，判定为符合。

测评结论与有无重大风险隐患有关。

被测系统符合率高于60%，低于90%，判定为基本符合。在此种情况下，测评结论与有无高风险问题、重大风险隐患无关。

被测系统符合率低于60%，判定为不符合。

（此处，是新版报告模板的一个重点。取消了原来的百分制，转而以符合率百分比来表达被测评网络的安全水平。在1.0的2015版报告模板，我们知道等级保护每一个测评项对应不同的权重，结合权重进行测评分数的计算，进而形成测评结果。总体来说也是“符合”要求“100分”，“部分符合”要求“60-100分（不含100分）”，“不符合”要求“60分以下”。2.0时代，采用了所谓高风险项一票否决的概念。

新的报告模板，“重大风险隐患”仅仅在“符合”与“基本符合”之间产生一个降级的影响。符合率高于90%，则考虑有没有“重大风险隐患”，若有则判定为“基本符合”，反之就是“符合”。

另外，测评报告本身就是反应定级对象的客观安全状态。按照原则上说就算一个系统真的处于“裸奔”状态，管理混乱不堪，并不影响测评机构出报告。同时，测评报告正好成为网络运营者整改加固的最强有力的参考素材。）

问题二十一、关于启用2025版新报告模板，是以哪个时间节点为准？

答复：《网络安全等级测评报告模板（2025版）》的启用以报告出具日期为准。测评报告封面时间为2025年3月20日之前日期的，测评报告可按照报告模版2021版执行；测评报告封面时间为2025年3月20日之后日期的，测评报告需按照报告模版2025版执行。

（此处，探讨2025版测评报告模板的启动时间问题，这里以测评报告封面日期作为分界线。在3月20日之前出具的测评报告，执行2021版报告模板。此后出具的测评报告，执行2025版测评报告模板。这个就是一个时间分界线，理解起来非常简单。）

问题二十二、等级测评结论处“重大风险隐患数量”，是按照整改前的数量还是整改后的数量填写？

答复：在《网络安全等级测评报告模板（2025版）》中，等级测评结论处的“重大风险隐患数量”应按照整改前的数量填写。若重大风险隐患数量已整改，需在测评报告中标注已整改。例：“10（5个已整改）”。

（此处，探讨的是“重大风险隐患数量”，释疑文件明确了报告中的“重大风险隐患数量”就是按照测评后，整改前的数量填写。可以根据实际情况，对已整改数量予以标注。）

问题二十三、保护工作方案范围及内容包括什么？

答复：第三级（含）以上网络系统运营者需以定级责任单位为主体提交保护工作方案，保护工作方案以年度测评中发现的重大风险隐患为重点，同时统筹考量高中低风险问题，全面梳理分析安全保护需求。保护工作方案应至少包括但不限于以下内容：

资产情况（互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等）、现有安全保护措施、问题成因、整改思路及后续工作计划等。

（此处，探讨保护工作方案。要明确几个内容，一是以定级责任单位为主体进行提交；二是以年度测评中发现的重大风险隐患为中点；三统筹考量高中低风险问题。

运营者在现有安全保护措施的基础上，以测评发现的重大风险隐患为主线，深挖问题隐患成因,全面梳理分析安全保护需求:提出整改思路和工作计划，结合实际制定保护工作方案，认真开展网络安全建设和整改加固，全面落实安全保护管理和技术措施。

内容方面涉及资产情况，这里可以考虑与测评调查信息进行对齐，或者尽量全覆盖。资产情况统计应当便于安全运行与维护，不应当以财务视角统计资产情况，可以考虑互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况，这些都与测评调查保持基本的对齐。

现有安全措施，可以借鉴等级测评中关于现有安全措施的记录，在分析问题成因时，需要考虑各层面的内容之间的关系，不能头疼医头脚疼医脚，进行通盘考量安全问题成因，管理问题可能引发技术问题，就不能仅仅在技术设备方面做堆叠，还需要考虑安全管理制度与人员，制度如何执行，人员能力如何适配，都是需要考虑的内容。问题成因分析清晰了，那么整改思路也就明了，整个思路有了就会碰到可以整改与无法整改的问题。

当遇到无法整改的情况，那么后续措施如何实现。可以列入后续工作计划中来。很多单位可能年初制定了网络安全计划，那么基于此就迎来了网络安全计划变更的窗口。）

问题二十四、保护工作方案内涉及的资产情况如何上报？

答复：为切实做好本年度重大活动安保工作，请各单位于2025年6月30日前向属地公安机关报送首批保护工作方案。

（此处，探讨保护工作方案，是基于网络运营者定级对象的实际情况与等级测评结果进行写的。在此基础上，需要充分考虑本单位网络安全工作在重大活动期间的网络安全保护工作，以配合公安机关开展网络空间安全保卫。

从释疑文件看到，各行业主管部门拟订需要首批保护工作方案的单位及定级对象名单，报送给公安机关。公安机关基于名单收取名单中各单位的保护工作方案。2025年6月30日前向属地公安机关报送首批保护工作方案。

按照《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)要求，第三级(含)以上信息系统运营者需在每年12月31日前将保护工作方案提交属地公安机关和行业主管部门。各行业主管部门要汇总分析本行业运营者提交的保护工作方案，据此开展有针对性的指导，督促运营者根据保护工作方案开展建设和整改加固，并适时组织开展行业检查。

所以，保护工作方案报送结合公网安〔2025〕1001号和公网安〔2025〕1846号两份文件，有两批次报送。）

—