《网络安全法》(2026 修订)第二十一条:国家实行网络安全等级保护制度,运营者应按等级履行安全保护义务。
《网络安全等级保护条例》(国务院令第 763 号)第二章:明确定级主体、原则、流程与责任。
一级:损害公民 / 法人合法权益
二级:严重损害公民 / 法人权益,或损害社会公共利益
三级:严重损害社会公共利益,或损害国家安全
四级:特别严重损害社会公共利益,或严重损害国家安全
五级:特别严重损害国家安全
定级要素:受侵害客体(公民 / 法人 / 社会 / 国家)+侵害程度(一般 / 严重 / 特别严重)。
五级划分:
2026 新规:重要数据系统、关基系统定级不低于三级。
《网络安全等级保护定级指南(2025 版)》(公安部等保办)
新增数据敏感度评估,与系统等级直接挂钩。
公网安〔2025〕1846 号:明确三级及以上系统必须专家评审 + 主管部门审批。
定级流程:确定对象→初步定级→专家评审→主管审批→公安备案审查→最终定级。
时限:系统上线30 日内完成定级。
材料:《定级报告》(含专家评审意见)、系统说明、拓扑图、数据分类清单。
《网络安全等级保护条例》第三章:二级及以上系统必须备案,一级无需备案。
《网络安全等级保护备案管理办法》(公网安〔2019〕1523 号):备案流程、材料、时限、变更。
公网安〔2025〕1846 号:
备案证明有效期 3 年,测评通过自动延长 1 年。
系统重大变更(架构、业务、数据)需30 日内重新备案。
《网络安全等级保护备案表(2025 版)》:新增数据分类分级、重要数据清单、跨境数据字段。
《信息系统安全等级保护备案表》
《定级报告》(含专家评审表)
系统拓扑图、资产清单、数据分类表
安全管理制度、应急预案
关基 / 重要数据系统需额外提交主管部门审批意见
时限:定级完成30 日内提交备案;审核通过15 日内发备案证明。
GB/T 22239-2025《信息安全技术 网络安全等级保护基本要求》(2025 版,测评直接依据)。
《网络安全等级保护测评高风险判定指引(2025 版)》:明确高风险项清单(一票否决)。
公网安〔2025〕1846 号:测评前必须完成差距分析,形成《差距报告》。
差距维度:技术(物理 / 网络 / 主机 / 应用 / 数据)+ 管理(制度 / 人员 / 应急)。
高风险优先项(2025 版):
无数据备份 / 异地备份
核心数据未加密
日志不可追溯 / 留存不足 6 个月
管理员无双因素认证
无应急演练 / 预案失效
国密改造未覆盖核心系统
输出:《差距分析报告》+《整改方案》(明确责任人、时限、验证标准)。
《网络安全等级保护条例》第三章:运营者必须按等级要求建设整改。
GB/T 25070-2019《信息安全技术 网络安全等级保护设计技术要求》:技术实现规范。
《网络安全等级保护数据安全测评细则(2025 版)》:数据安全专项整改要求。
技术整改要点(2025 版):
物理:机房门禁、监控、防雷、UPS
网络:边界防护、入侵检测、访问控制、流量审计
主机:身份鉴别、权限最小化、安全审计、恶意代码防范
应用:数据加密、传输加密、日志审计、输入验证
数据:分类分级、备份恢复、脱敏、销毁、跨境管控
制度:安全策略、账号管理、变更管理、应急响应
人员:培训、考核、保密协议
演练:每年至少2 次应急演练,留存记录
痕迹留存:所有整改过程文档、测试报告、验收记录必须完整可查。
《网络安全等级保护测评工作管理规定》(公网安〔2019〕1522 号):测评流程、报告、质量控制。
《网络安全等级保护测评机构管理办法》(公通字〔2019〕19 号):测评机构资质要求。
GB/T 28448-2025《信息安全技术 网络安全等级保护测评要求》(2025 版,强制)。
《网络安全等级测评报告模版(2025 版)》(2025-03-20 起强制,取消百分制)。
公网安〔2025〕1846 号:
测评结论:符合 / 基本符合 / 不符合,高风险项直接判定不符合。
测评周期:三级每年 1 次,四级每半年 1 次,二级每 2 年 1 次。
专项场景指南(2026-02-01 实施):云原生、边缘计算、大数据、区块链、5G、工业互联网平台测评规范。
测评机构:必须具备公安部等保测评资质(可在 “中国网络安全等级保护网” 查询)。
测评流程:准备→现场测评(技术 + 管理)→报告编制→结论出具。
报告要求(2025 版):
封面、目录、测评范围、依据、方法
技术 / 管理测评结果(逐项判定)
高风险项清单、整改建议
最终结论、测评机构资质、专家签字
时限:测评完成15 日内出具报告;基本符合需30 日内整改复测。
《网络安全等级保护条例》第四章:未通过测评必须整改复测。
公网安〔2025〕1001 号:建立持续合规机制,年度自查 + 季度巡检 + 月度监控。
复测:不符合需全面整改后重新测评;基本符合需补充整改后复测。
持续合规:
三级及以上系统:每年12 月 31 日前提交《年度保护工作方案》。
备案延续:测评通过后,备案证明自动延长 1 年;到期前3 个月申请延期。
监督检查:公安部门不定期抽查,重点核查高风险项整改与持续运行情况。
《网络安全法》(2026 修订)第二十一条、第三十一条
《网络安全等级保护条例》(国务院令第 763 号)全章
《关键信息基础设施安全保护条例》(国务院令第 745 号)
《数据安全法》第二十七条、第三十一条
《个人信息保护法》第五十一条
《网络安全等级保护备案管理办法》(公网安〔2019〕1523 号)
《网络安全等级保护测评工作管理规定》(公网安〔2019〕1522 号)
《网络安全等级保护测评机构管理办法》(公通字〔2019〕19 号)
公网安〔2025〕1001 号、1846 号(核心执行口径)
《网络安全等级测评报告模版(2025 版)》(强制)
《网络安全等级保护测评高风险判定指引(2025 版)》(一票否决)
《网络安全等级保护数据安全测评细则(2025 版)》
2026 年专项场景指南(云原生、大数据等)
GB/T 22239-2025(基本要求)
GB/T 28448-2025(测评要求)
GB/T 22240-2025(定级指南)
GB/T 25070-2019(设计技术要求)
未定级备案:二级及以上系统未备案,最高罚100 万元,责任人罚10 万元。
未按时测评:三级系统未每年测评,罚50–500 万元。
高风险项未整改:无数据备份、核心数据未加密等,直接测评不通过,责令停业整改。
使用旧版报告:2025-03-20 后仍用旧版模板,报告无效,需重新测评。
数据安全不合规:未分类分级、未备份、跨境未评估,罚100–1000 万元。
