新闻资讯

翎贺带您速览2025年网络安全等级保护工作要点

在当今数字化浪潮下，网络安全的重要性不言而喻。近期，公安部发布公网安〔2025〕1846号文件引发了广泛关注，指导各单位全面深入开展系统备案更新、数据资源摸底、风险隐患排查以及问题隐患整改等工作。

一、备案相关问题

1.如何执行系统备案动态更新工作？

运营者需全面梳理已备案系统的情况，对于已完成定级备案的第二级（含）以上网络系统，无论网络系统是否涉及级别变更，运营者均需重新依据2025版定级报告和备案表模板进行编写和填报，并及时按照属地公安机关网安部门要求及时报送。

2.系统备案动态更新是否需要组织召开专家评审，组织召开专家评审会的原则是什么？

已完成定级备案的网络系统若发生级别变更或重大变化的需重新组织召开专家评审会。鼓励行业主管部门集中组织召开本行业内网络系统的专家评审会。

3.备案单位如何选择备案地？

原则上由地市级以上公安机关网安部门受理备案。省级公安机关可以根据实际情况，指定具有受理备案条件的县级公安机关受理备案。备案单位工商注册登记地、实际业务运营机构所在地、安全管理机构所在地、网络设备所在地等不一致的，以备案单位安全管理机构、运维所在地为主受理备案。若安全管理机构和运维所在地等不一致的，以安全管理机构所在地为主受理备案。

4.跨省或全国联网运行的网络系统如何选择备案地？

跨省、省内跨地（市），或全国联网运行的网络系统，按照属地管辖原则由省级公安机关网安部门受理备案或其指定地市级公安机关网安部门受理备案。

跨省或全国统一联网运行并由主管部门统一定级的网络系统在各地运行、应用的分支系统（包括由上级主管部门定级，在当地有应用的网络），由所在地地市级以上公安机关网安部门受理备案。

5.已定级备案的跨省或全国联网运行的网络系统如何选择备案更新地？

原备案至公安部的网络系统已转交至北京市公安局网安总队进行受理，此次备案动态更新地请咨询北京市公安局网络安全保卫总队。

6.备案证明如何更新及有效期如何确认？

《网络安全等级保护备案证明》有效期为三年。2025年1月1日前备案的，有效期自 2025年1月1日起算。完成等级测评后有效期自动延长一年。期满需要延期的，应当于期满前三个月内向受理备案的公安机关申请延期。

二、第五级网络系统相关问题

7.第五级网络系统的定义？

第五级网络系统是指“对国家安全或地区安全、国计民生造成严重或特别严重损害的网络系统”。

8.第五级网络系统定级的适用范围可能包括哪些？

第五级网络系统适用于关系到国家安全、地区安全或国计民生的重要网络系统，例如：国家能源管理系统、交通指挥调度系统、金融核心交易系统、大型互联网平台等。

9.第五级网络系统需要到哪里备案？

按照《网络安全等级保护备案实施细则（试行）》要求，第五级网络系统需到省级公安机关网安部门备案。

10.第五级网络系统如何开展等级测评？

现阶段第五级网络系统原则上可在《信息安全技术网络安全等级保护基本要求》（GB/T 22239—2019）中第四级安全保护要求基础上，重点参考《信息安全技术关键信息基础设施安全测评要求》（GA/T 2182—2024）中相关要求，执行第五级网络系统等级测评工作。

11.第五级网络系统每年要开展几次等级测评？

第五级网络系统等级测评频率与第三、四级网络系统保持一致，每年开展一次等级测评工作。

12.第五级网络系统是否属于关键信息基础设施？

第五级网络系统是关键信息基础设施（以下简称“关基”）认定的重要因素之一，但第五级网络系统和关基并不是等同关系。第五级网络系统的认定需根据业务信息安全、系统服务安全被破坏时，对侵害客体的侵害程度来确定。而关基的认定则需要根据《关键信息基础设施安全保护条例》中相关认定要求来认定。

13.系统定级为第五级是否需要进行大规模的资金投入或国产化改造？

第五级信息系统是最重要的系统，关乎国家安全、地区安全或国计民生，以提升安全防护能力为目标，按照“适度适配”的原则，开展网络系统升级改造。不强制要求大规模资金投入或国产化改造。

三、数据摸底调查相关问题

14.为什么要通过等级保护备案开展数据摸底调查？

随着《中华人民共和国数据安全法》、《网络数据安全管理条例》发布，数据安全影响日益凸显，为全面摸清数据基本信息、数据使用和数据流动等情况，依托等保备案更新工作专设数据调查表，全力支撑后续监管工作。

15.如何组织开展数据摸底调查？

第二级（含）以上网络系统运营者以单位为主体进行填报数据摸底调查表，运营者根据本单位数据分类分级结果填报《网络安全等级保护备案表》中的《数据摸底调查表》并报送至属地公安机关。

16.如何填写数据摸底调查表？

数据摸底调查表由网络系统运营者填写，每类数据填写一张，有多类数据的要分别填写。数据类别即本单位数据分类的最小单元类，是该数据项之上的数据类别，例如“金融账户”、“个人交易信息”等，并非是“电话”、“身份证”、“手机号码”等数据项。

四、测评报告与重大风险隐患相关问题

17.高风险问题的主要判定依据是什么？

高风险问题的判定主要依据《网络安全等级保护测评高风险判定实施指引》中相关判例。对于未出现在《网络安全等级保护测评高风险判定实施指引》的，经综合判断，可能会造成测评系统出现高风险情况的，也应判断为高风险问题。

18.2025版网络安全等级保护测评报告模版为什么引入重大风险隐患概念？

引入重大风险隐患概念标志着网络安全等级保护工作从原有的“合规达标”转变至“动态防护”。通过以问题为导向，推动运营者聚焦核心安全问题优化改进网络安全防护手段，全面提升网络安全保护能力。

19.高风险问题与重大风险隐患之间的关系是什么？

根据重大风险隐患判定原则（相关性原则、严重性原则、高发性原则）进行综合分析，判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发，还可能是多个高、中、低安全问题的叠加。

20.网络系统存在高风险问题或重大风险隐患是否影响测评结论？

网络安全等级测评报告模版（2025版）中测评结论判定规则如下：

被测系统符合率高于90%，且无重大风险隐患，判定为符合。测评结论与有无重大风险隐患有关。
被测系统符合率高于60%，低于90%，判定为基本符合。在此种情况下，测评结论与有无高风险问题、重大风险隐患无关。
被测系统符合率低于60%，判定为不符合。

21.关于启用2025版新报告模板，是以哪个时间节点为准？

《网络安全等级测评报告模板（2025 版）》的启用以报告出具日期为准。测评报告封面时间为2025年3月20日之前日期的，测评报告可按照报告模版2021版执行；测评报告封面时间为2025年3月20日之后日期的，测评报告需按照报告模版2025版执行。

22.等级测评结论处“重大风险隐患数量” ，是按照整改前的数量还是整改后的数量填写？

在《网络安全等级测评报告模板（2025 版）》中，等级测评结论处的“重大风险隐患数量”应按照整改前的数量填写。若重大风险隐患数量已整改，需在测评报告中标注已整改。例：“10（5个已整改）”。

五、保护工作相关问题

23.保护工作方案范围及内容包括什么？

第三级（含）以上网络系统运营者需以定级责任单位为主体提交保护工作方案，保护工作方案以年度测评中发现的重大风险隐患为重点，同时统筹考量高中低风险问题，全面梳理分析安全保护需求。保护工作方案应至少包括但不限于以下内容：资产情况（互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等）、现有安全保护措施、问题成因、整改思路及后续工作计划等。

24.保护工作方案内涉及的资产情况如何上报？

为切实做好本年度重大活动安保工作，请各单位于2025年6月30日前向属地公安机关报送首批保护工作方案。

这份文件的发布，为网络安全等级保护工作提供了全面、细致且具有前瞻性的指导，各网络运营者应深入学习并严格遵循其中的要求，以筑牢网络安全防线，保障国家网络安全和自身业务的稳定发展。

在后续的工作中，我们将持续关注相关政策的动态变化，确保网络安全工作与时俱进。

公司介绍

公司图片.png

河北翎贺计算机信息技术有限公司成立于2012年，是专业从事网络安全咨询与服务的独立第三方测评与检测机构，业务覆盖网络安全等级保护测评、信息安全风险评估、工业控制安全测评、软件测试、渗透测试、数据安全服务、源代码审计、网络安全攻防、信息安全体系建设咨询与服务、网络安全审计、通信网络安全服务、网络安全培训等，公司始终致力于通过专业技术为用户提供全方位安全有效的网络安全解决方案。翎贺专注于网络空间安全市场，向政府、企业用户提供网络安全服务，项目管理案例达560+、网络安全服务项目达680+，经验丰富，服务涵盖政府、金融、能源、医疗、教育、互联网企业等多个行业，目前已经在北京、福建、广西、贵州等超过25个省市自治区实施过项目。凭借创新能力和以实战攻防为核心的安全能力，已发展成为领先的基于安全合规、数据安全、IT审计、网络安全和人才培养的安全服务供应商。是国家高新技术企业、国家科技型中小企业、河北省科技型中小企业、河北省专精特新中小企业、河北省工业企业研发机构、河北省工业信息安全服务支撑单位、河北省服务业创新领先50强、河北省优质中小企业服务机构、河北省企业上云服务商。

END