!"#$%&'()*+,-.! /01234567'(+,-.89:;< 网络安全等级保护制度和关键信息基础设施安全保护制度是党中央有关文 件和《网络安全法》确定的基本制度。近年来，各单位、各部门按照中央网络 安全政策要求和《网络安全法》等法律法规规定，全面加强网络安全工作，有 力保障了国家关键信息基础设施、重要网络和数据安全。但随着信息技术飞速 发展，网络安全工作仍面临一些新形势、新任务和新挑战。为深入贯彻落实网 络安全等级保护制度和关键信息基础设施安全保护制度，健全完善国家网络安 全综合防控体系，有效防范网络安全威胁，有力处置网络安全事件，严厉打击 危害网络安全的违法犯罪活动，切实保障国家网络安全，特制定以下指导意 见。 一、指导思想、基本原则和工作目标 (一)指导思想 以习近平新时代中国特色社会主义思想为指导，按照党中央、国务院决策 部署，以总体国家安全观为统领，认真贯彻实施网络强国战略，全面加强网络 安全工作统筹规划，以贯彻落实网络安全等级保护制度和关键信息基础设施安 全保护制度为基础，以保护关键信息基础设施、重要网络和数据安全为重点， 全面加强网络安全防范管理、监测预警、应急处置、侦查打击、情报信息等各 项工作，及时监测、处置网络安全风险、威胁和网络安全突发事件，保护关键 信息基础设施、重要网络和数据免受攻击、侵入、干扰和破坏，依法惩治网络 违法犯罪活动，切实提高网络安全保护能力，积极构建国家网络安全综合防控 体系，切实维护国家网络空间主权、国家安全和社会公共利益，保护人民群众 的合法权益，保障和促进经济社会信息化健康发展。 (二)基本原则 ——坚持分等级保护、突出重点。根据网络(包含网络设施、信息系统、数 据资源等)在国家安全、经济建设、社会生活中的重要程度，以及其遭到破坏后 的危害程度等因素，科学确定网络的安全保护等级，实施分等级保护、分等级 监管，重点保障关键信息基础设施和第三级(含第三级、下同)以上网络的安 全。 ——坚持积极防御、综合防护。按照法律法规和有关国家标准规范，充分 利用人工智能、大数据分析等技术，积极落实网络安全管理和技术防范措施， 强化网络安全监测、态势感知、通报预警和应急处置等重点工作，综合采取网 络安全保护、保卫、保障措施，防范和遏制重大网络安全风险、事件发生，保 护云计算、物联网、新型互联网、大数据、智能制造等新技术应用和新业态安 全。 ——坚持依法保护、形成合力。依据《网络安全法》等法律法规规定，公 安机关依法履行网络安全保卫和监督管理职责，网络安全行业主管部门(含监管 部门，下同)依法履行网络安全主管、监管责任，强化和落实网络运营者主体防 护责任，充分发挥和调动社会各方力量，协调配合、群策群力，形成网络安全 保护工作合力。 (三)工作目标 h t i g b u c . 5 m o ——网络安全等级保护制度深入贯彻实施。网络安全等级保护定级备案、 等级测评、安全建设和检查等基础工作深入推进。网络安全保护“实战化、体系 化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防 联控”的“三化六防”措施得到有效落实，网络安全保护良好生态基本建立，国家 网络安全综合防护能力和水平显著提升。 ——关键信息基础设施安全保护制度建立实施。关键信息基础设施底数清 晰，安全保护机构健全、职责明确、保障有力。在贯彻落实网络安全等级保护 制度的基础上，关键信息基础设施涉及的关键岗位人员管理、供应链安全、数 据安全、应急处置等重点安全保护措施得到有效落实，关键信息基础设施安全 防护能力明显增强。 ——网络安全监测预警和应急处置能力显著提升。跨行业、跨部门、跨地 区的立体化网络安全监测体系和网络安全保护平台基本建成，网络安全态势感 知、通报预警和事件发现处置能力明显提高。网络安全预案科学齐备，应急处 置机制完善，应急演练常态化开展，网络安全重大事件得到有效防范、遏制和 处置。 ——网络安全综合防控体系基本形成。网络安全保护工作机制健全完善， 党委统筹领导、各部门分工负责、社会力量多方参与的网络安全工作格局进一 步完善。网络安全责任制得到有效落实，网络安全管理防范、监督指导和侦查 打击等能力显著提升，“打防管控”一体化的网络安全综合防控体系基本形成。 二、深入贯彻实施国家网络安全等级保护制度 按照国家网络安全等级保护制度要求，各单位、各部门在公安机关指导监 督下，认真组织、深入开展网络安全等级保护工作，建立良好的网络安全保护 生态，切实履行主体责任，全面提升网络安全保护能力。 (一)深化网络定级备案工作。网络运营者应全面梳理本单位各类网络，特 别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情 况，并根据网络的功能、服务范围、服务对象和处理数据等情况，科学确定网 络的安全保护等级，对第二级以上网络依法向公安机关备案，并向行业主管部 门报备。对新建网络，应在规划设计阶段确定安全保护等级。公安机关对网络 运营者提交的备案材料和网络的安全保护等级进行审核，对定级结果合理、备 案材料符合要求的，及时出具网络安全等级保护备案证明。行业主管部门可以 依据《网络安全等级保护定级指南》国家标准，结合行业特点制定行业网络安 全等级保护定级指导意见。 (二)定期开展网络安全等级测评。网络运营者应依据有关标准规范，对已 定级备案网络的安全性进行检测评估，查找可能存在的网络安全问题和隐患。 第三级以上网络运营者应委托符合国家有关规定的等级测评机构，每年开展一 次网络安全等级测评，并及时将等级测评报告提交受理备案的公安机关和行业 主管部门。新建第三级以上网络应在通过等级测评后投入运行。网络运营者在 开展测评服务过程中要与测评机构签署安全保密协议，并对测评过程进行监督 管理。公安机关要加强对本地等级测评机构的监督管理，建立测评人员背景审 查和人员审核制度，确保等级测评过程客观、公正、安全。 (三)科学开展安全建设整改。网络运营者应在网络建设和运营过程中，同 步规划、同步建设、同步使用有关网络安全保护措施。应依据《网络安全等级 保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准，在现有 h t i g b u c . 5 m o 安全保护措施的基础上，全面梳理分析安全保护需求，并结合等级测评过程中 发现的问题隐患，按照“一个中心(安全管理中心)、三重防护(安全通信网络、安 全区域边界、安全计算环境)”的要求，认真开展网络安全建设和整改加固，全 面落实安全保护技术措施。网络运营者可将网络迁移上云，或将网络安全服务 外包，充分利用云服务商和网络安全服务商提升网络安全保护能力和水平。应 全面加强网络安全管理，建立完善人员管理、教育培训、系统安全建设和运维 等管理制度，加强机房、设备和介质安全管理，强化重要数据和个人信息保 护，制定操作规范和工作流程，加强日常监督和考核，确保各项管理措施有效 落实。 (四)强化安全责任落实。行业主管部门、网络运营者应依据《网络安全 法》等法律法规和有关政策要求，按照“谁主管谁负责、谁运营谁负责”的原 则，厘清网络安全保护边界，明确安全保护工作责任，建立网络安全等级保护 工作责任制，落实责任追究制度，作到“守土有责、守土尽责”。网络运营者要 定期组织专门力量开展网络安全自查和检测评估，行业主管部门要组织风险评 估，及时发现网络安全隐患和薄弱环节并予以整改，不断提高网络安全保护能 力和水平。 (五)加强供应链安全管理。网络运营者应加强网络关键人员的安全管理， 第三级以上网络运营者应对为其提供设计、建设、运维、技术服务的机构和人 员加强管理，评估服务过程中可能存在的安全风险，并采取相应的管控措施。 网络运营者应加强网络运维管理，因业务需要确需通过互联网远程运维的，应 进行评估论证，并采取相应的管控措施。网络运营者应采购、使用符合国家法 律法规和有关标准规范要求的网络产品及服务，第三级以上网络运营者应积极 应用安全可信的网络产品及服务。 (六)落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法 律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码 技术进行保护，并使用符合相关要求的密码产品和服务。第三级以上网络运营 者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关 标准，在网络安全等级测评中同步开展密码应用安全性评估。 三、建立并实施关键信息基础设施安全保护制度 公安机关指导监督关键信息基础设施安全保护工作。各单位、各部门应加 强关键信息基础设施安全的法律体系、政策体系、标准体系、保护体系、保卫 体系和保障体系建设，建立并实施关键信息基础设施安全保护制度，在落实网 络安全等级保护制度基础上，突出保护重点，强化保护措施，切实维护关键信 息基础设施安全。 (一)组织认定关键信息基础设施。根据党中央和公安部有关规定，公共通 信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工 业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定本行 业、本领域关键信息基础设施认定规则并报公安部备案。保护工作部门根据认 定规则负责组织认定本行业、本领域关键信息基础设施，及时将认定结果通知 相关设施运营者并报公安部。应将符合认定条件的基础网络、大型专网、核心 业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新 型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。关键信息基 础设施清单实行动态调整机制，有关网络设施、信息系统发生较大变化，可能 h t i g b u c . 5 m o 影响其认定结果的，运营者应及时将相关情况报告保护工作部门，保护工作部 门应组织重新认定，将认定结果通知运营者，并报公安部。 (二)明确关键信息基础设施安全保护工作职能分工。公安部负责关键信息 基础设施安全保护工作的顶层设计和规划部署，会同相关部门健全完善关键信 息基础设施安全保护制度体系。保护工作部门负责对本行业、本领域关键信息 基础设施安全保护工作的组织领导，根据国家网络安全法律法规和有关标准规 范要求，制定并实施本行业、本领域关键信息基础设施安全总体规划和安全防 护策略，落实本行业、本领域网络安全指导监督责任。关键信息基础设施运营 者负责设置专门安全管理机构，组织开展关键信息基础设施安全保护工作，主 要负责人对本单位关键信息基础设施安全保护负总责。 (三)落实关键信息基础设施重点防护措施。关键信息基础设施运营者应依 据网络安全等级保护标准开展安全建设并进行等级测评，发现问题和风险隐患 要及时整改;依据关键信息基础设施安全保护标准，加强安全保护和保障，并进 行安全检测评估。要梳理网络资产，建立资产档案，强化核心岗位人员管理、 整体防护、监测预警、应急处置、数据保护等重点保护措施，合理分区分域，