近期,公安部网安局先后印发了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)、《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号),对网络安全等级保护工作提出了新的要求和细化说明,指导各单位全面深入推进网络安全风险隐患排查以及保护工作方案制定等工作。
针对行业主管单位、测评机构、运营单位重点关注的问题,中检天帷从第三方测评机构角度出发,组织专家团队对公安部两个文件进行了分析解读。本文围绕政策背景与核心变化、关键要求与执行要点、对各主体的政策落地执行建议、政策深层次影响、关键节点工作提醒、常见问题解答等六个方面逐一分析,以期为各单位在实际工作中提供参考。
一、政策定位与核心变化
1、双文件协同
①、1001号文(3月8日):明确等级保护“六大任务”(包括系统备案更新、第五级定级、数据资源摸底、风险隐患排查、保护工作方案和调动资源合力等)。
②、1846号文(4月27日):细化24项实操问题释疑,解决执行难点。
2、核心理念
①、从“合规达标”转变至“动态防护”:引入“重大风险隐患”概念,强化实战化整改。
②、数据与系统并重:依托等级保护备案更新工作开展数据资源摸底,呼应《数据安全法》。
二、关键要求解读与执行要点
1、系统备案更新(2025年11月30日截止)
①、更新范围:
所有二级及以上系统,无论级别有无变更,都需在2025年11月30日前按照2025版模板重新填报备案信息。这好比为每个系统重新办理 “身份证”,更新关键信息,确保监管部门能准确掌握系统最新动态。
②、专家评审要求:
仅当系统级别变更或出现重大变化时才需专家评审,同时鼓励行业集中组织评审,凝聚专业智慧,提升评审效率与质量。
③、备案地选择:
属地化管理原则清晰划定了备案 “责任田”:安全管理机构所在地优先于运维地,不一致时以前者为准;跨省系统由省级或指定市级受理,统一管理口径,明确责任归属;原公安部备案系统平稳交接至北京网安总队,确保管理的连续性与稳定性。
④、备案证明有效期:
有效期统一为3年,2025年前备案的系统从 2025 年1月1日起重新计算,为各单位提供了清晰明确的时间表;完成等级测评后有效期自动延续1年,鼓励各单位积极参与等保测评;期满延期则需提前3个月向原备案公安机关申请,为管理留出缓冲期。
2、第五级系统定级与保护
①、定义:
一旦遭到破坏、丧失功能或数据泄露,可能对国家安全、地区安全或国计民生造成严重或特别严重损害的网络系统。
②、典型场景:
包括国家能源管理、交通调度、金融核心交易、大型互联网平台等,这些领域的系统宛如国家经济命脉和神经中枢,须严加防护。
③、执行要求:
备案至省级公安机关;
测评参考GB/T 22239-2019第四级、重点参考GA/T 2182-2024,确保测评的科学性与严谨性;
每年1次测评,与三四级系统保持一致,形成常态化监测机制;
非强制国产化改造,按“适度适配”原则升级,既兼顾安全性,又充分考虑实际运营成本和技术可行性。
④、与关基关系:
明确第五级网络系统是关键信息基础设施认定的重要依据,但二者不等同。这一界定避免混淆,为精准监管提供清晰框架。
3、数据资源摸底(2025年11月30日截止)
①、填报主体:
第二级(含)以上系统运营者以单位为主体填报,确保数据责任主体明确。
②、填写规范:
按数据最小类别(如“金融账户”“个人交易信息” 等)而非字段(如“电话”“身份证”“手机号码” 等)填写,如同对数据进行精细 “分类打包”,每类数据单独填表,避免数据混乱,为后续精准监管和高效利用夯实基础。
4、风险排查与测评新规高风险判定依据:
①、主要依据《网络安全等级保护测评高风险判定实施指引》,并根据应用场景综合判断,确保判定结果符合实际风险态势;
②、重大风险隐患:
判定原则:相关性、严重性、高发性,精准锚定真正威胁网络安全的核心隐患;
影响测评结论:通过符合率和重大风险隐患数量双重维度,科学划分测评结论等级,为网络安全状况提供直观、量化的评估结果,促使各单位重视并积极整改风险隐患。
③、测评模板切换:
2025年3月20日后出具的报告须用2025版模板。
④、整改要求:
报告中的“重大风险隐患数量”按整改前数据填写,已整改的需标注(例:10(5个已整改))。让监管部门清晰掌握整改进度,形成整改闭环。
5、保护工作方案(第三级(含)以上系统强制)
①、内容要求:
涵盖资产情况(互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等。从现状分析到未来规划,全方位勾勒出网络安全提升的详细路径,确保各单位在网络安全建设中有章可循、有迹可循。
②、提交节点:
各运营单位2025年6月30日前报送首批方案;后续每年12月31日前提交。
三、对各主体的优先行动建议
1、运营单位
①、立即启动系统梳理与数据分类,精准掌握自身系统和数据状况,为后续工作筑牢根基。
②、6月30日前完成第三级(含)以上系统保护工作方案,按照要求精心编制方案,明确整改方向和步骤,为全年网络安全工作制定清晰蓝图。
③、11月30日前完成备案更新及数据摸底,严格按照时间节点和标准完成任务,确保备案信息和数据信息的准确性和时效性。
2、行业主管部门
①、组织相关单位专家集中评审,汇聚行业智慧,提升评审质量和效率,为行业发展提供统一的安全标准和保障。
②、制定数据分类分级行业指南,结合行业特点和需求,为数据安全管理提供精准指导,规范数据使用和保护流程。
③、6月30日前收集首批保护工作方案,及时掌握各单位网络安全工作进展,为行业监管提供一手资料,便于统筹协调和督促指导。
3、测评机构
①、严格使用 2025 版测评模板,确保测评工作的规范性和一致性,为客户提供准确、可靠的测评结果。
②、重大风险隐患整改闭环验证,对整改过程全程跟踪、验证,确保隐患彻底消除,形成整改工作的完整闭环,为网络安全保驾护航。
③、协助客户规范填报数据摸底表和等保工作方案编制,发挥专业优势,提升数据质量和可用性,为数据安全监管提供有力支撑。
四、政策深层次影响
1、数据安全制度化
数据摸底调查表成为等保备案必备项,标志着数据资产进入强制监管阶段。促进各单位强化数据管理,建立完善的数据资产台账,确保数据来源可溯、去向可查、风险可控,为数据安全保驾护航。
2、防护能力实质化
以 “重大风险隐患整改” 取代 “分数达标”,扭转以往重形式、轻实效的局面。这一转变促使各单位将安全投入真正用在刀刃上,聚焦风险隐患整改,提升网络安全防护能力,让安全投入看得见、摸得着、有实效,切实筑牢网络安全防线。
3、责任边界清晰化
备案地规则明确化解跨区域争议,让各单位清楚知晓向谁备案、由谁监管,避免出现监管空白或重复监管的情况;第五级系统定义杜绝定级泛化,确保定级工作科学、精准,为合理配置网络安全资源、实施有效监管提供坚实基础。
五、关键节点工作提醒
六、常见问题答疑
1、系统备案动态更新的工作流程和注意事项?
网络运营者需全面梳理已备案系统情况,不管网络系统是否涉及级别变更,都得重新依据 2025 版定级报告和备案表模板编写、填报,并按属地公安机关网安部门要求报送。已完成定级备案的网络系统若发生级别变更或重大变化的,需重新组织专家评审会,行业主管部门可集中组织本行业内网络系统专家评审会。原则上由地市级以上公安机关网安部门受理备案,省级公安机关可指定符合条件的县级公安机关受理备案。备案单位工商注册登记地、实际业务运营机构所在地等不一致时,以安全管理机构、运维所在地为主受理备案;安全管理机构和运维所在地等不一致的,以安全管理机构所在地为主受理备案。《网络安全等级保护备案证明》有效期为三年。2025年1月1日前备案的,有效期自2025年1月1日起算。完成等级测评后有效期自动延长一年。期满需要延期的,应当于期满前3个月内向受理备案的公安机关申请延期。
2、跨省或全国联网运行的网络系统怎样选择备案地?
跨省、省内跨地(市)或全国联网运行的网络系统,按属地管辖原则由省级公安机关网安部门受理备案或其指定地市级公安机关网安部门受理备案;由主管部门统一定级的跨省或全国统一联网运行网络系统在各地运行、应用的分支系统,由所在地地市级以上公安机关网安部门受理备案。原公安部备案系统平稳交接至北京网安总队。
3、第五级系统的定义中,“地区”指什么范围?“严重损害”和“特别严重损害”如何区分?
第五级网络系统涉及的“地区安全”中,“地区”范围包括如省级行政区(省、自治区、直辖市)、国家级战略区域(如东北区域、长江三角洲、粤港澳大湾区)或部分省内特定区域等(如安徽省皖北区域、合肥都市圈)。“严重损害”:如系统遭破坏会导致省级行政区内关键基础设施瘫痪、大规模社会秩序混乱或重大经济损失(如全省电网调度系统崩溃)。“特别严重损害”:如系统遭破坏后果跨省扩散或引发国家级安全危机(如全国范围内的关键产业供应链断裂)。
4、第五级系统如何开展等级测评?
现阶段第五级网络系统原则上可在《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)中第四级安全保护要求基础上,重点参考《信息安全技术 关键信息基础设施安全测评要求》(GA/T 2182—2024)中相关要求,执行第五级网络系统等级测评工作。第五级网络系统是关键信息基础设施认定的重要依据,但二者不等同。这一界定避免混淆,为精准监管提供清晰框架。
5、组织开展数据摸底调查的原因?
随着《中华人民共和国数据安全法》《网络数据安全管理条例》发布,数据安全影响日益凸显,为全面摸清数据基本信息、数据使用和数据流动等情况,依托等保备案更新工作专设数据调查表,全力支撑后续监管工作。第二级(含)以上网络系统运营者以单位为主体填报数据摸底调查表,根据本单位数据分类分级结果填写《网络安全等级保护备案表》中的《数据摸底调查表》并报送至属地公安机关。
6、 数据摸底调查表填写要求?
数据摸底调查表由网络系统运营者填写,每类数据填写一张,有多类数据的要分别填写。其中数据名称主要根据运营使用单位数据分类的最小单元填写,比如医疗行业系统的数据名称包括有电子病例信息、脉象信息等。数据类别即本单位数据分类的最小单元类,主要参照GB/T 43697-2024《数据安全技术数据分类分级规则》对单位数据进行分类分级,一般分为个人数据、业务数据、视频数据等。
7、高风险问题与重大风险隐患之间的关系是什么?
在2025版测评报告引入重大风险隐患概念,标志着网络安全等级保护工作从 “合规达标” 转变至 “动态防护”。以问题为导向,推动运营者聚焦核心安全问题优化改进网络安全防护手段,全面提升网络安全保护能力。高风险问题是重大风险隐患的组成部分,根据重大风险隐患判定原则(相关性原则:基于网络安全等级保护测评中发现的、可能导致系统面临高风险的安全问题,且针对该问题未采取任一缓解措施;严重性原则:安全事件一旦发生后将造成严重后果,包括导致业务中断、重要数据泄露或被篡改,获得系统管理权限或业务权限等;高发性原则:在实际运行中由该问题导致的安全事件发生概率较大。)综合分析判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发,也可能由多个高、中、低安全问题叠加引发。
8、网络系统存在高风险问题或重大风险隐患是否影响测评结论?
2025版测评结论判定规则如下,被测系统符合率高于90%且无重大风险隐患,判定为符合;被测系统符合率高于60%低于90%或高于90%但存在重大风险隐患,判定为基本符合;被测系统符合率低于 60%,判定为不符合。因此,只要符合率大于60%,此时测评结论与有无高风险问题、重大风险隐患无关,都是基本符合。
9、保护工作方案范围及内容包括什么?
第三级(含)以上网络系统运营者需以定级责任单位为主体提交保护工作方案,保护工作方案以年度测评中发现的重大风险隐患为重点,同时统筹考量高中低风险问题,全面梳理分析安全保护需求。保护工作方案应至少包括但不限于以下内容:资产情况(互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等。各单位在编制过程中,应充分参考各监管单位的指导意见,紧密结合自身实际业务场景与技术架构,确保方案的科学性、可行性和有效性。各运营单位2025年6月30日前向属地公安机关报送首批保护工作方案,后续每年12月31日前提交。网络安全等级保护工作关乎国家、社会和企业的发展命脉,在公安部新规指导下,让我们各方携手共进,以更加严谨的态度、更加扎实的行动,共同筑牢网络安全坚固防线,在数字时代浪潮中稳步前行。
如果您在项目实施过程中有任何疑问,欢迎咨询中检天帷技术服务中心。
联系方式:
刘老师/13855136895
尹老师/18256025696声明:本文解读基于公安部公网安〔2025〕1001号、1846号文件原文(点击底部阅读原文,下载文件),具体执行细则以各地公安机关要求为准。
近期,公安部网安局先后印发了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)、《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号),对网络安全等级保护工作提出了新的要求和细化说明,指导各单位全面深入推进网络安全风险隐患排查以及保护工作方案制定等工作。
针对行业主管单位、测评机构、运营单位重点关注的问题,中检天帷从第三方测评机构角度出发,组织专家团队对公安部两个文件进行了分析解读。本文围绕政策背景与核心变化、关键要求与执行要点、对各主体的政策落地执行建议、政策深层次影响、关键节点工作提醒、常见问题解答等六个方面逐一分析,以期为各单位在实际工作中提供参考。
一、政策定位与核心变化
1、双文件协同
①、1001号文(3月8日):明确等级保护“六大任务”(包括系统备案更新、第五级定级、数据资源摸底、风险隐患排查、保护工作方案和调动资源合力等)。
②、1846号文(4月27日):细化24项实操问题释疑,解决执行难点。
2、核心理念
①、从“合规达标”转变至“动态防护”:引入“重大风险隐患”概念,强化实战化整改。
②、数据与系统并重:依托等级保护备案更新工作开展数据资源摸底,呼应《数据安全法》。
二、关键要求解读与执行要点
1、系统备案更新(2025年11月30日截止)
①、更新范围:
所有二级及以上系统,无论级别有无变更,都需在2025年11月30日前按照2025版模板重新填报备案信息。这好比为每个系统重新办理 “身份证”,更新关键信息,确保监管部门能准确掌握系统最新动态。
②、专家评审要求:
仅当系统级别变更或出现重大变化时才需专家评审,同时鼓励行业集中组织评审,凝聚专业智慧,提升评审效率与质量。
③、备案地选择:
属地化管理原则清晰划定了备案 “责任田”:安全管理机构所在地优先于运维地,不一致时以前者为准;跨省系统由省级或指定市级受理,统一管理口径,明确责任归属;原公安部备案系统平稳交接至北京网安总队,确保管理的连续性与稳定性。
④、备案证明有效期:
有效期统一为3年,2025年前备案的系统从 2025 年1月1日起重新计算,为各单位提供了清晰明确的时间表;完成等级测评后有效期自动延续1年,鼓励各单位积极参与等保测评;期满延期则需提前3个月向原备案公安机关申请,为管理留出缓冲期。
2、第五级系统定级与保护
①、定义:
一旦遭到破坏、丧失功能或数据泄露,可能对国家安全、地区安全或国计民生造成严重或特别严重损害的网络系统。
②、典型场景:
包括国家能源管理、交通调度、金融核心交易、大型互联网平台等,这些领域的系统宛如国家经济命脉和神经中枢,须严加防护。
③、执行要求:
备案至省级公安机关;
测评参考GB/T 22239-2019第四级、重点参考GA/T 2182-2024,确保测评的科学性与严谨性;
每年1次测评,与三四级系统保持一致,形成常态化监测机制;
非强制国产化改造,按“适度适配”原则升级,既兼顾安全性,又充分考虑实际运营成本和技术可行性。
④、与关基关系:
明确第五级网络系统是关键信息基础设施认定的重要依据,但二者不等同。这一界定避免混淆,为精准监管提供清晰框架。
3、数据资源摸底(2025年11月30日截止)
①、填报主体:
第二级(含)以上系统运营者以单位为主体填报,确保数据责任主体明确。
②、填写规范:
按数据最小类别(如“金融账户”“个人交易信息” 等)而非字段(如“电话”“身份证”“手机号码” 等)填写,如同对数据进行精细 “分类打包”,每类数据单独填表,避免数据混乱,为后续精准监管和高效利用夯实基础。
4、风险排查与测评新规高风险判定依据:
①、主要依据《网络安全等级保护测评高风险判定实施指引》,并根据应用场景综合判断,确保判定结果符合实际风险态势;
②、重大风险隐患:
判定原则:相关性、严重性、高发性,精准锚定真正威胁网络安全的核心隐患;
影响测评结论:通过符合率和重大风险隐患数量双重维度,科学划分测评结论等级,为网络安全状况提供直观、量化的评估结果,促使各单位重视并积极整改风险隐患。
③、测评模板切换:
2025年3月20日后出具的报告须用2025版模板。
④、整改要求:
报告中的“重大风险隐患数量”按整改前数据填写,已整改的需标注(例:10(5个已整改))。让监管部门清晰掌握整改进度,形成整改闭环。
5、保护工作方案(第三级(含)以上系统强制)
①、内容要求:
涵盖资产情况(互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等。从现状分析到未来规划,全方位勾勒出网络安全提升的详细路径,确保各单位在网络安全建设中有章可循、有迹可循。
②、提交节点:
各运营单位2025年6月30日前报送首批方案;后续每年12月31日前提交。
三、对各主体的优先行动建议
1、运营单位
①、立即启动系统梳理与数据分类,精准掌握自身系统和数据状况,为后续工作筑牢根基。
②、6月30日前完成第三级(含)以上系统保护工作方案,按照要求精心编制方案,明确整改方向和步骤,为全年网络安全工作制定清晰蓝图。
③、11月30日前完成备案更新及数据摸底,严格按照时间节点和标准完成任务,确保备案信息和数据信息的准确性和时效性。
2、行业主管部门
①、组织相关单位专家集中评审,汇聚行业智慧,提升评审质量和效率,为行业发展提供统一的安全标准和保障。
②、制定数据分类分级行业指南,结合行业特点和需求,为数据安全管理提供精准指导,规范数据使用和保护流程。
③、6月30日前收集首批保护工作方案,及时掌握各单位网络安全工作进展,为行业监管提供一手资料,便于统筹协调和督促指导。
3、测评机构
①、严格使用 2025 版测评模板,确保测评工作的规范性和一致性,为客户提供准确、可靠的测评结果。
②、重大风险隐患整改闭环验证,对整改过程全程跟踪、验证,确保隐患彻底消除,形成整改工作的完整闭环,为网络安全保驾护航。
③、协助客户规范填报数据摸底表和等保工作方案编制,发挥专业优势,提升数据质量和可用性,为数据安全监管提供有力支撑。
四、政策深层次影响
1、数据安全制度化
数据摸底调查表成为等保备案必备项,标志着数据资产进入强制监管阶段。促进各单位强化数据管理,建立完善的数据资产台账,确保数据来源可溯、去向可查、风险可控,为数据安全保驾护航。
2、防护能力实质化
以 “重大风险隐患整改” 取代 “分数达标”,扭转以往重形式、轻实效的局面。这一转变促使各单位将安全投入真正用在刀刃上,聚焦风险隐患整改,提升网络安全防护能力,让安全投入看得见、摸得着、有实效,切实筑牢网络安全防线。
3、责任边界清晰化
备案地规则明确化解跨区域争议,让各单位清楚知晓向谁备案、由谁监管,避免出现监管空白或重复监管的情况;第五级系统定义杜绝定级泛化,确保定级工作科学、精准,为合理配置网络安全资源、实施有效监管提供坚实基础。
五、关键节点工作提醒
六、常见问题答疑
1、系统备案动态更新的工作流程和注意事项?
网络运营者需全面梳理已备案系统情况,不管网络系统是否涉及级别变更,都得重新依据 2025 版定级报告和备案表模板编写、填报,并按属地公安机关网安部门要求报送。已完成定级备案的网络系统若发生级别变更或重大变化的,需重新组织专家评审会,行业主管部门可集中组织本行业内网络系统专家评审会。原则上由地市级以上公安机关网安部门受理备案,省级公安机关可指定符合条件的县级公安机关受理备案。备案单位工商注册登记地、实际业务运营机构所在地等不一致时,以安全管理机构、运维所在地为主受理备案;安全管理机构和运维所在地等不一致的,以安全管理机构所在地为主受理备案。《网络安全等级保护备案证明》有效期为三年。2025年1月1日前备案的,有效期自2025年1月1日起算。完成等级测评后有效期自动延长一年。期满需要延期的,应当于期满前3个月内向受理备案的公安机关申请延期。
2、跨省或全国联网运行的网络系统怎样选择备案地?
跨省、省内跨地(市)或全国联网运行的网络系统,按属地管辖原则由省级公安机关网安部门受理备案或其指定地市级公安机关网安部门受理备案;由主管部门统一定级的跨省或全国统一联网运行网络系统在各地运行、应用的分支系统,由所在地地市级以上公安机关网安部门受理备案。原公安部备案系统平稳交接至北京网安总队。
3、第五级系统的定义中,“地区”指什么范围?“严重损害”和“特别严重损害”如何区分?
第五级网络系统涉及的“地区安全”中,“地区”范围包括如省级行政区(省、自治区、直辖市)、国家级战略区域(如东北区域、长江三角洲、粤港澳大湾区)或部分省内特定区域等(如安徽省皖北区域、合肥都市圈)。“严重损害”:如系统遭破坏会导致省级行政区内关键基础设施瘫痪、大规模社会秩序混乱或重大经济损失(如全省电网调度系统崩溃)。“特别严重损害”:如系统遭破坏后果跨省扩散或引发国家级安全危机(如全国范围内的关键产业供应链断裂)。
4、第五级系统如何开展等级测评?
现阶段第五级网络系统原则上可在《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)中第四级安全保护要求基础上,重点参考《信息安全技术 关键信息基础设施安全测评要求》(GA/T 2182—2024)中相关要求,执行第五级网络系统等级测评工作。第五级网络系统是关键信息基础设施认定的重要依据,但二者不等同。这一界定避免混淆,为精准监管提供清晰框架。
5、组织开展数据摸底调查的原因?
随着《中华人民共和国数据安全法》《网络数据安全管理条例》发布,数据安全影响日益凸显,为全面摸清数据基本信息、数据使用和数据流动等情况,依托等保备案更新工作专设数据调查表,全力支撑后续监管工作。第二级(含)以上网络系统运营者以单位为主体填报数据摸底调查表,根据本单位数据分类分级结果填写《网络安全等级保护备案表》中的《数据摸底调查表》并报送至属地公安机关。
6、 数据摸底调查表填写要求?
数据摸底调查表由网络系统运营者填写,每类数据填写一张,有多类数据的要分别填写。其中数据名称主要根据运营使用单位数据分类的最小单元填写,比如医疗行业系统的数据名称包括有电子病例信息、脉象信息等。数据类别即本单位数据分类的最小单元类,主要参照GB/T 43697-2024《数据安全技术数据分类分级规则》对单位数据进行分类分级,一般分为个人数据、业务数据、视频数据等。
7、高风险问题与重大风险隐患之间的关系是什么?
在2025版测评报告引入重大风险隐患概念,标志着网络安全等级保护工作从 “合规达标” 转变至 “动态防护”。以问题为导向,推动运营者聚焦核心安全问题优化改进网络安全防护手段,全面提升网络安全保护能力。高风险问题是重大风险隐患的组成部分,根据重大风险隐患判定原则(相关性原则:基于网络安全等级保护测评中发现的、可能导致系统面临高风险的安全问题,且针对该问题未采取任一缓解措施;严重性原则:安全事件一旦发生后将造成严重后果,包括导致业务中断、重要数据泄露或被篡改,获得系统管理权限或业务权限等;高发性原则:在实际运行中由该问题导致的安全事件发生概率较大。)综合分析判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发,也可能由多个高、中、低安全问题叠加引发。
8、网络系统存在高风险问题或重大风险隐患是否影响测评结论?
2025版测评结论判定规则如下,被测系统符合率高于90%且无重大风险隐患,判定为符合;被测系统符合率高于60%低于90%或高于90%但存在重大风险隐患,判定为基本符合;被测系统符合率低于 60%,判定为不符合。因此,只要符合率大于60%,此时测评结论与有无高风险问题、重大风险隐患无关,都是基本符合。
9、保护工作方案范围及内容包括什么?
第三级(含)以上网络系统运营者需以定级责任单位为主体提交保护工作方案,保护工作方案以年度测评中发现的重大风险隐患为重点,同时统筹考量高中低风险问题,全面梳理分析安全保护需求。保护工作方案应至少包括但不限于以下内容:资产情况(互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等。各单位在编制过程中,应充分参考各监管单位的指导意见,紧密结合自身实际业务场景与技术架构,确保方案的科学性、可行性和有效性。各运营单位2025年6月30日前向属地公安机关报送首批保护工作方案,后续每年12月31日前提交。网络安全等级保护工作关乎国家、社会和企业的发展命脉,在公安部新规指导下,让我们各方携手共进,以更加严谨的态度、更加扎实的行动,共同筑牢网络安全坚固防线,在数字时代浪潮中稳步前行。
如果您在项目实施过程中有任何疑问,欢迎咨询中检天帷技术服务中心。
联系方式:
刘老师/13855136895
尹老师/18256025696声明:本文解读基于公安部公网安〔2025〕1001号、1846号文件原文(点击底部阅读原文,下载文件),具体执行细则以各地公安机关要求为准。
- 上一篇:无
- 下一篇:超2万网站遭“DollyWay”恶意软件劫持,你的网站还安全吗?
- [ 2022-08-08 ] 天帷动态│沈昌祥院士莅临天帷信安考察指导
- [ 2025-06-09 ] 一起益企,智创未来丨中检天帷支持厦门市中小企业服务月活动成功举办
- [ 2025-06-09 ] 专家解读丨网络安全等级保护最新要求深度解析
- [ 2025-06-03 ] 新一代数字司法技术产教融合共同体在京成立,中检天帷当选副理事长单位
- [ 2025-05-30 ] 中检天帷余俊老师荣获“安徽省劳动竞赛先进个人”
- [ 2025-05-29 ] 中检天帷荣登《嘶吼2025中国网络安全产业势能榜》七大细分领域
- [ 2025-05-27 ] 中国中检山东公司济南区域公司领导一行到中检天帷开展业务交流
