2025等级保护系统定级备案新变化
为适应数字化转型与数据安全新形势,国家网络安全等级保护工作协调小组办公室发布《关于进一步做好网络安全等级保护有关工作的函》,标志着等级保护制度进入2.0深化阶段。本文结合《网络安全等级保护备案表(2025版)》最新模板要求,系统梳理定级备案工作的核心变化及实施要点。
本次调整在延续"定级、备案、建设整改、等级测评、监督检查"五步法基础上,重点强化数据安全纳入体系、备案对象动态管理、责任主体明确三大方向,形成覆盖网络、系统、数据的全要素管理体系。
这是继2007年《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861 号)又一次全面的基本情况大摸底工作,所以各行业主管部门指导下级单位要组织开展对所属网络的摸底调查,全面掌握信网络数量、分布、业务类型、应用或服务范围、系统结构、承载数据、安全责任等基本情况,鉴于等级保护依据《信息安全等级保护管理办法》《网络安全等级保护定级指南》开展多年,行业主管在参照《办法》和指南的基础上结合最新定级备案要求,可以根据行业特点提出指导本行业定级工作的具体意见。
我们知道的等级保护工作五个规定动作,分别是:定级、备案、建设整改、等级测评、监督检查。五个规定动作,将各方拉到同一个目标下,共同解决我国网络安全基础问题,共筑我国网络安全坚强之盾。此次发函,是又一次网络安全基础情况大摸底,同时摸底除了传统的定级内容,增设了数据资源摸底工作要求,也就是数据自此纳入等级保护体系,而网络安全等级保护工作要求三同步原则,自然也适用于数据安全。无非数据安全需要兼顾存量网络的数据安全问题罢了。
从发函里看到,要求各行业主管部门要统筹部署加强指导,组织本行业全面开展系统梳理,严格按流程开展备案更新工作。既然谈到备案更新,其前置条件是等级保护定级工作,同时是重点在“更新”,顾名思义各个行业主管部门需要督导行业依据新的定级报告模板开展定级工作,并到属地公安机关提交新的备案资料,更新备案;前面探讨,本次工作是又一次全面基础情况摸底,既然是摸底还涉及全面定级备案的问题。另外,《信息安全等级保护管理办法》规定了:已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。也就是从法理上看,社会上不存在未定级备案的网络(含信息系统)。所以对于行业主管部门与责任单位来说,需要完成已备案网络安全更新与存量未备案的提交。
结合最新《网络安全等级保护定级报告模版(2025版)》,我们看到新的定级报告分为定级对象描述、安全保护等级确定两大部分内容;定级对象描述有分为主体责任、定级对象构成、承载业务、承载数据、安全责任等内容。
定级对象描述方面,增加了承载数据和细化了安全责任描述,要求对定级对象所承载的数据,包括数据类别、数据级别、数据处理环节等描述,与其他系统存在数据交换的,还应说明数据流转情况。数据的重要程度,是根据《数据安全技术 数据分类分级规则》来认定,是否存在重要数据和核心数据,是否涉及数据流转等各类情况。基于当下,各个行业数据分类分级工作,开展并不理想的情况下,数据的重要程度是一个确实。数据分类分级工作迫在眉睫,如果数据分类分级不及时不科学不准确,将对等级保护定级工作的准确性产生极大的不确定性。
在安全责任方面,要求明确备案单位的安全保护义务,以及日常安全落实负责部门,并且明确为直接责任人。根据《等级保护备案表》的说明,单位负责人为“是指分管本单位网络安全工作的领导”,但实际执行中有些地方一直以来要求是单位的一把手,这是此前理解存在一些偏差。因为在旧版的备案表中,也一直是要求分管领导负责。当然,这背后并不是说一把手就没有网络安全责任,只是作为主要领导负主要责任,分管领导负直接责任罢了。
安全保护等级确定与《定级指南》保持大类的一致性,分别从业务信息安全保护和系统服务安全保护两个层面展开,当确定了业务信息与系统服务两个层面的各自级别后,二者取其高的原则不变。业务信息安全保护等级矩阵表,较定级指南有了新变化。
在新版的定级报告模板中,客体增加了“区域安全、国计民生”的概念,这里就与关键信息基础设施做了对齐,我们一般认为事关国计民生的重要信息系统是关键信息基础设施。
再者,在新版定级报告模板的业务信息安全保护等级矩阵表的说明中,谈及了重要数据至少为第三级以上,核心数据至少为第四级以上。
三者,客体侵害程度,依然分为:一般损害、严重损害、特别严重损害;国家安全的一般损害安全保护级别要求从第四级开始,严重损害、特别严重损害安全保护等级要求为第五级。
从公民、法人和其他组织的合法权益;社会秩序、公共利益两个维度去看,矩阵列表级别判定与原来保持了一直,一旦涉及国家安全,则必须上升为第四级。结合发函说明,要将第五级信息系统作为关键信息基础设施认定的重要因素,第五级信息系统原则上按照关键信息基础设施保护相关要求进行保护。
这样矩阵表结合说明,将以等级保护制度为基础,关键信息基础设施安全保护、数据安全保护纳到了等级保护制度体系之内。
表一 业务信息安全保护等级矩阵表
| 业务信息安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全或地区安全、国计民生 | 第四级 | 第五级 | 第五级 |
表二 系统服务安全保护等级矩阵表
| 系统服务安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全或地区安全、国计民生 | 第四级 | 第五级 | 第五级 |
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。