2025年5月14日,国务院发布《国务院2025年度立法工作计划》,首次将《网络安全等级保护条例》纳入预备制定清单,标志着我国网络安全法律体系迈入新阶段。这是继2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》公开征求意见的公告后,时隔近7年该文件迎来的最新进展。
网络安全等级保护(以下简称“等保”)制度作为网络安全领域的基础框架和核心制度,今年以来,迎来一系列重大工作部署调整,重点聚焦于备案动态管理、第五级网络系统监管、数据摸底调查、测评体系改革等方面。本文结合最新政策文件,系统梳理2025年等保制度的关键进展变化,以期为相关用户开展等保落地工作提供参考。
2025年3月8日,公安部印发《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号),用于指导各单位全面深入开展系统备案更新、数据资源摸底、风险隐患排查以及问题隐患整改等工作,自2025年3月20日起签署的等保测评项目合同,在项目实施中启用《网络安全等级测评报告模板(2025版)》出具测评报告。
2025年4月27日,为推进各项工作落实,公安部印发《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号),就有关工作细则及政策变化作了详细说明,对企业开展网络安全等级保护合规建设具有重要影响。
备案管理动态化
有效期机制
《网络安全等级保护备案证明》有效期为三年。
备案地确定规则
创新提出“安全管理机构所在地优先”原则,解决云服务、跨区域运营企业的备案争议。
第五级网络系统专项监管
定义:对国家安全或地区安全、国计民生造成严重或特别严重损害的网络系统。
适用范围:适用于关系到国家安全、地区安全或国计民生的重要网络系统,例如:国家能源管理系统、交通指挥调度系统、金融核心交易系统、大型互联网平台等。
备案受理:省级公安机关网安部门(依据《网络安全等级保护备案实施细则(试行)》)
测评要求:现阶段原则上可在《信息安全技术 网络安全等级保护基本要求》(GB/T22239—2019)中第四级安全保护要求基础上,重点参考《信息安全技术 关键信息基础设施安全测评要求》(GA/T2182—2024)中相关要求,执行等级测评工作。
测评周期:与第三、四级网络系统保持一致,每年开展一次等级测评工作。
与关键信息基础设施的协同机制:
国产化改造要求:
数据摸底调查
第二级(含)以上网络系统运营者需填报《数据摸底调查表》并报送至属地公安机关。
每类数据填写一张,有多类数据的要分别填写。数据类别即本单位数据分类的最小单元类,是该数据项之上的数据类别。
测评体系重大调整
取消分数制:测评结论从“优、良、中、差”改为“符合、基本符合、不符合”三档。
重大风险隐患判断:
首次引入重大风险隐患概念,并结合符合率最终评定测评结论。
根据重大风险隐患判定原则(相关性原则、严重性原则、高发性原则)进行综合分析,判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发,还可能是多个高、中、低安全问题的叠加。
结论判定机制:
该变化的影响在于,企业未来开展供应商合规评估时,不仅要看其年度测评结论,还要看具体重大风险隐患与合作业务的相关性,以及整改情况。
监督检查机制迭代
保护工作方案:第三级(含)以上网络系统运营者需以定级责任单位为主体提交保护工作方案,保护工作方案以年度测评中发现的重大风险隐患为重点,同时统筹考量高中低风险问题,全面梳理分析安全保护需求。
内容需涵盖:资产情况(互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等;
报送时间:2025年6月30日前向属地公安机关报送首批保护工作方案。
等保制度通过分等级保护、分等级监管的方式构建网络空间安全防线,监管要求的逐步调整与细化,已形成立法+执行的双轮驱动格局。随着《网络安全等级保护条例》也明确释放出进展消息,将进一步推动企业的网络安全工作从形式合规向实质防护转变,企业需把握合规时间窗口,将安全能力转化为竞争优势。