正文

解读 | 公网安〔2025〕1846号文关于对网络安全等级保护有关工作事项进一步说明的函

admin
admin V管理员 /0 评论 /2 阅读
0515
文章最后更新时间2025年05月15日,若文章内容或图片失效,请留言反馈!

2025年4月27日,公安部印发了《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号),对2025年3月8日印发的《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)有关工作细则及政策变化作了详细说明,对各单位开展网络安全等级保护合规工作具有重要影响。

     政策背景     

公网安〔2025〕1001号用于指导各单位全面深入开展系统备案更新、数据资源摸底、风险隐患排查以及问题隐患整改等工作,自2025年3月20日起签署的等保测评项目合同,在项目实施中开始启用《网络安全等级测评报告模版(2025版)》出具测评报告。

本文结合相关项目经验,对公网安〔2025〕1846号文进行了要点梳理,供大家参考。

     系统备案     

01
备案变更

(1)已定级备案系统,运营者需全面梳理,第二级(含)以上系统,无论级别是否级别变更,运营者均需重新依据2025版定级报告和备案表模板进行编写和填报,按照属地公安要求,及时报送。需要注意的是:第一级系统虽无需备案,但也纳入梳理范围内;

(2)已定级备案系统,若有等级变更或重大变化的需重新组织召开专家评审会,鼓励行业主管部门集中组织召开本行业内网络系统的专家评审会。

02
备案地的选择

(1)原则上,由市级以上公安机关网安部门受理备案;

(2)省级公安机关可以根据实际情况,指定具有受理备案条件的县级公安机关受理备案;

(3)若安全管理机构与运维所在地不一致的,以安全管理机构所在地为主受理备案;

(4)跨省、跨地(市),或全国联网运行的网络系统,按照属地管理原则由省级公安机关网安部门或其指定的地市级公安机关网安部门受理备案;

(5)跨省或全国统一联网运行并由主管部门统一定级的网络系统,在各地运行、应用的分支系统,由所在地地市级以上公安机关网安部门受理备案;

03
备案证有效期

(1)《网络安全等级保护备案证明》有效期为三年;

(2)2025年1月1日前备案的,有效期自2025年1月1日起算;

(3)自动延期:完成等级测评后,有效期自动延长一年;

(4)申请延期:期满需要延期的,应当于期满前三个月内向受理备案的公安机关申请延期;

     第五级网络系统     

01
定义

对国家安全或地区安全、国计民生造成严重或特别严重损害的网络系统。

02
适用范围

适用于关系到国家安全、地区安全或国计民生的重要网络系统,例如:国家能源管理系统、交通指挥调度系统、金融核心交易系统、大型互联网平台等。

03
备案受理

第五级网络系统需到省级公安机关网安部门备案。

依据:《网络安全等级保护备案实施细则(试行)》

04
测评指标

(1)《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)中第四级安全保护要求;

(2)《信息安全技术 关键信息基础设施安全测评要求》(GA/T 2182—2024)中相关要求。

05
测评频率

与第三、四级网络系统保持一致,每年开展一次等级测评工作。

06
与关基的关系

第五级网络系统是关键信息基础设施认定的重要因素之一,但第五级网络系统和关基不存在等同关系。关基的认定需要根据《关键信息基础设施安全保护条例》中相关认定要求来认定。

07
是否需要进行大规模的资金投入国产化改造

以提升安全防护能力为目标,按照“适度适配”的原则,开展网络系统升级改造。不强制要求大规模资金投入或国产化改造。

     数据摸底调查     

01
组织开展

(1)依托等保备案更新工作专设数据调查表,全力支撑后续监管工作;

(2)二级及以上系统运营者,以单位为主体进行填报数据摸底调查表,运营者根据本单位数据分类分级结果填报《网络安全等级保护备案表》中的《数据摸底调查表》,并报送至属地公安机关;

(3)若企业之前未开展网络系统的数据分级分类工作的,应当先根据《数据安全法》《个人信息保护法》等规定,依法开展分类分级工作。

02
数据摸底调查表

由网络系统运营者填写,每类数据填写一张,有多类数据的要分别填写。

     重大风险隐患     

01
引入

(1)2025版网络安全等级保护测评报告模板引入了重大风险隐患概念;

(2)引入重大风险隐患的概念标志着等级保护工作从原有的“合格达标”转变至“动态防护”。

02
与高风险问题的关系

(1)根据相关性原则、严重性原则、高发性原则等判定原则,进行综合分析,判断是否为重大风险隐患;

(2)重大风险隐患可能由一个高风险问题直接引发,还可能是多个高、中、低安全问题的叠加。

03
对测评结论的影响

(1)被测系统符合率高于90%,且无重大风险隐患,判定为符合;测评结论与有无重大风险隐患有关;

(2)被测系统符合率高于60%,低于90%,判定为基本符合;在此种情况下,测评结论与有无高风险问题、重大风险隐患无关;

(3)被测系统符合率低于60%,判定为不符合。

04
2025版报告模板使用时间节点

启用以报告出具日期为准,测评报告封面时间:

2025.3.20之前日期的,按照2021版执行;

2025.3.20 之后日期的,按照2025版执行。

05
报告中的数量填写

(1)《网络安全等级测评报告模板(2025版)》中,等保测评结论处的 “重大风险隐患数量” 应按照整改前的数量填写;

(2)若重大风险隐患数量已经整改,需在测评报告中标注并已整改。例:“10(5 个已整改)”。

     保护工作方案     

01
范围

第三级(含)以上网络系统运营者需以定级责任单位为主体提交保护工作方案,保护工作方案以年度测评中发现的重大风险隐患为重点,同时统筹考量高中低风险问题,全面梳理分析安全保护需求。

02
内容

包括但不限于:资产情况(互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等。

03
上报时间

2025年6月30日前向属地公安机关报送首批保护工作方案。

· end ·

来源 | 信息安全国家工程研究中心

责任编辑 | 赫敏

声明:本文由工业安全产业联盟平台微信公众号(微信号:ICSISIA)转发,如有版权问题,请联系删除。

如需合作或咨询,请联系工业安全产业联盟平台小秘书微信号:ICSISIA20140417

往期荐读

重磅 | 

2025两会必看丨

工信部丨

干货丨

DeepSeek分析丨

白皮书丨

荐读丨

干货丨

荐读 | 

工信部丨

关注丨

电力安全|

工信部等十三部门丨

关注丨


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com