《网络安全等级保护条例》迎新进展！(附25年等保制度变化)

2025年《网络安全等级保护条例》迎来新进展，等保制度在备案管理、第五级网络系统监管、数据摸底、测评体系及监督检查等方面发生关键变化。 具体内容如下：

• 立法进展：2025年5月14日，国务院发布《国务院2025年度立法工作计划》，首次将《网络安全等级保护条例》纳入预备制定清单，标志着我国网络安全法律体系迈入新阶段。这是继2018年6月27日公安部发布《网络安全等级保护条例（征求意见稿）》公开征求意见后，时隔近7年的最新进展。

• 备案管理动态化

  有效期机制：

  《网络安全等级保护备案证明》有效期为三年。

  2025年1月1日前备案的，有效期自2025年1月1日起算。

  完成等级测评后，有效期自动延长一年。

  期满需要延期的，应当于期满前三个月内向受理备案的公安机关申请延期。

  备案地确定规则：

  创新提出“安全管理机构所在地优先”原则，解决云服务、跨区域运营企业的备案争议。

  原则上由市级以上公安机关网安部门受理备案，省级公安机关可根据实际情况指定县级公安机关受理。

  若安全管理机构与运维所在地不一致，以安全管理机构所在地为主受理备案。

  跨省、跨地（市）或全国联网运行的网络系统，由省级公安机关网安部门或其指定的地市级公安机关网安部门受理备案。

  跨省或全国统一联网运行并由主管部门统一定级的网络系统，在各地运行、应用的分支系统，由所在地地市级以上公安机关网安部门受理备案。

• 第五级网络系统专项监管

  定义：对国家安全或地区安全、国计民生造成严重或特别严重损害的网络系统。

  适用范围：适用于关系到国家安全、地区安全或国计民生的重要网络系统，例如国家能源管理系统、交通指挥调度系统、金融核心交易系统、大型互联网平台等。

  备案受理：由省级公安机关网安部门负责。

  测评要求：现阶段原则上在《信息安全技术 网络安全等级保护基本要求》（GB/T22239—2019）中第四级安全保护要求基础上，重点参考《信息安全技术 关键信息基础设施安全测评要求》（GA/T2182—2024）中相关要求执行等级测评工作。

  测评周期：每年开展一次等级测评工作，与第三、四级网络系统保持一致。

  与关键信息基础设施的协同机制：

  明确第五级网络系统是关键信息基础设施认定的重要依据，但二者并不等同。

  第五级网络系统的认定需根据业务信息安全、系统服务安全被破坏时对侵害客体的侵害程度来确定。

  关键信息基础设施的认定需独立适用《关键信息基础设施安全保护条例》。

  国产化改造要求：

  不强制要求大规模资金投入或国产化改造。

  以提升安全防护能力为目标，按照“适度适配”的原则开展网络系统升级改造。

• 数据摸底调查

  第二级（含）以上网络系统运营者需填报《数据摸底调查表》并报送至属地公安机关。

  每类数据填写一张，有多类数据的要分别填写。数据类别即本单位数据分类的最小单元类，是该数据项之上的数据类别。

• 测评体系重大调整

  取消分数制：测评结论从“优、良、中、差”改为“符合、基本符合、不符合”三档。

  重大风险隐患判断：首次引入重大风险隐患概念，并结合符合率最终评定测评结论。根据重大风险隐患判定原则（相关性原则、严重性原则、高发性原则）进行综合分析，判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发，还可能是多个高、中、低安全问题的叠加。

  结论判定机制：

  符合率>90%且无重大风险隐患，测评结论为“符合”。

  符合率>90%但有重大风险隐患，测评结论为“基本符合”。

  符合率60-90%，测评结论为“基本符合”。

  符合率<60%，测评结论为“不符合”。

  影响：企业未来开展供应商合规评估时，不仅要看其年度测评结论，还要看具体重大风险隐患与合作业务的相关性，以及整改情况。

• 监督检查机制迭代

  保护工作方案：第三级（含）以上网络系统运营者需以定级责任单位为主体提交保护工作方案，以年度测评中发现的重大风险隐患为重点，同时统筹考量高中低风险问题，全面梳理分析安全保护需求。

  内容及时间：

  内容涵盖资产情况（互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等）、现有安全保护措施、问题成因、整改思路及后续工作计划等。

  2025年6月30日前向属地公安机关报送首批保护工作方案。