中华人民共和国公安部 公网安[2020]1960号 关于印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的函 中央和国家机关各部委，国务院各直属机构、办事机构、事业单位，各中央企业： 为深入贯彻党中央有关文件精神和《网络安全法》，指导重点行业、部门全面落实网络 安全等级保护制度和关键信息基础设施安全保护制度，健全完善国家网络安全综合防控体系， 有效防范网络安全威胁，有力处置重大网络安全事件，配合公安机关加强网络安全监管，严 厉打击危害网络安全的违法犯罪活动，切实保障关键信息基础设施、重要网络和数据安全， 公安部研究制定了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指 导意见》。现印送给你们，请结合本行业、本部门工作实际，认真参照执行。 公安部2020年7月22日 贯彻落实网络安全等级保护制度和 关键信息基础设施安全保护制度的指导意见 网络安全等级保护制度和关键信息基础设施安全保护制度是党中央有关文件和《网络安 全法》确定的基本制度。近年来，各单位、各部门按照中央网络安全政策要求和《网络安全 法》等法律法规规定，全面加强网络安全工作，有力保障了国家关键信息基础设施、重要网 络和数据安全。但随着信息技术飞速发展，网络安全工作仍面临一些新形势、新任务和新挑 战。为深入贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度，健全完善国 家网络安全综合防控体系，有效防范网络安全威胁，有力处置网络安全事件，严厉打击危害 网络安全的违法犯罪活动，切实保障国家网络安全，特制定以下指导意见。一、指导思想、基本原则和工作目标 （一）指导思想 以习近平新时代中国特色社会主义思想为指导，按照党中央、国务院决策部署，以总体 国家安全观为统领，认真贯彻实施网络强国战略，全面加强网络安全工作统筹规划，以贯彻 落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础，以保护关键信息基础 设施、重要网络和数据安全为重点，全面加强网络安全防范管理、监测预警、应急处置、侦 查打击、情报信息等各项工作，及时监测、处置网络安全风险、威胁和网络安全突发事件， 保护关键信息基础设施、重要网络和数据免受攻击、侵入、干扰和破坏，依法惩治网络违法 犯罪活动，切实提高网络安全保护能力，积极构建国家网络安全综合防控体系，切实维护国 家网络空间主权、国家安全和社会公共利益，保护人民群众的合法权益，保障和促进经济社 会信息化健康发展。 （二）基本原则 坚持分等级保护、突出重点。根据网络（包含网络设施、信息系统、数据资源等）在国 家安全、经济建设、社会生活中的重要程度，以及其遭到破坏后的危害程度等因素，科学确 定网络的安全保护等级，实施分等级保护、分等级监管，重点保障关键信息基础设施和第三 级（含第三级、下同）以上网络的安全。 坚持积极防御、综合防护。按照法律法规和有关国家标准规范，充分利用人工智能、大 数据分析等技术，积极落实网络安全管理和技术防范措施，强化网络安全监测、态势感知、 通报预警和应急处置等重点工作，综合采取网络安全保护、保卫、保障措施，防范和遏制重 大网络安全风险、事件发生，保护云计算、物联网、新型互联网、大数据、智能制造等新技 术应用和新业态安全。坚持依法保护、形成合力。依据《网络安全法》等法律法规规定，公安机关依法履行网 络安全保卫和监督管理职责，网络安全行业主管部门（含监管部门，下同）依法履行本行业 网络安全主管、监管责任，强化和落实网络运营者主体防护责任，充分发挥和调动社会各方 力量，协调配合、群策群力，形成网络安全保护工作合力。 （三）工作目标 网络安全等级保护制度深入贯彻实施。网络安全等级保护定级备案、等级测评、安全建 设和检查等基础工作深入推进。网络安全保护“实战化、体系化、常态化”和“动态防御、 主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实， 网络安全保护良好生态基本建立，国家网络安全综合防护能力和水平显著提升。 关键信息基础设施安全保护制度建立实施。关键信息基础设施底数清晰，安全保护机构 健全、职责明确、保障有力。在贯彻落实网络安全等级保护制度的基础上，关键信息基础设 施涉及的关键岗位人员管理、供应链安全、数据安全、应急处置等重点安全保护措施得到有 效落实，关键信息基础设施安全防护能力明显增强。 网络安全监测预警和应急处置能力显著提升。跨行业、跨部门、跨地区的立体化网络安 全监测体系和网络安全保护平台基本建成，网络安全态势感知、通报预警和事件发现处置能 力明显提高。网络安全预案科学齐备，应急处置机制完善，应急演练常态化开展，网络安全 重大事件得到有效防范、遏制和处置。 网络安全综合防控体系基本形成。网络安全保护工作机制健全完善，党委统筹领导、各 部门分工负责、社会力量多方参与的网络安全工作格局进一步完善。网络安全责任制得到有 效落实，网络安全管理防范、监督指导和侦查打击等能力显著提升，“打防管控”一体化的 网络安全综合防控体系基本形成。二、深入贯彻实施国家网络安全等级保护制度 按照国家网络安全等级保护制度要求，各单位、各部门在公安机关指导监督下，认真组 织、深入开展网络安全等级保护工作，建立良好的网络安全保护生态，切实履行主体责任， 全面提升网络安全保护能力。 （一）深化网络定级备案工作。网络运营者应全面梳理本单位各类网络，特别是云计算、 物联网、新型互联网、大数据、智能制造等新技术应用的基本情况，并根据网络的功能、服 务范围、服务对象和处理数据等情况，科学确定网络的安全保护等级，对第二级以上网络依 法向公安机关备案，并向行业主管部门报备。对新建网络，应在规划设计阶段确定安全保护 等级。公安机关对网络运营者提交的备案材料和网络的安全保护等级进行审核，对定级结果 合理、备案材料符合要求的，及时出具网络安全等级保护备案证明。行业主管部门可以依据 《网络安全等级保护定级指南》国家标准，结合行业特点制定行业网络安全等级保护定级指 导意见。 （二）定期开展网络安全等级测评。网络运营者应依据有关标准规范，对已定级备案网 络的安全性进行检测评估，查找可能存在的网络安全问题和隐患。第三级以上网络运营者应 委托符合国家有关规定的等级测评机构，每年开展一次网络安全等级测评，并及时将等级测 评报告提交受理备案的公安机关和行业主管部门。新建第三级以上网络应在通过等级测评后 投入运行。网络运营者在开展测评服务过程中要与测评机构签署安全保密协议，并对测评过 程进行监督管理。公安机关要加强对本地等级测评机构的监督管理，建立测评人员背景审查 和人员审核制度，确保等级测评过程客观、公正、安全。 （三）科学开展安全建设整改。网络运营者应在网络建设和运营过程中，同步规划、同 步建设、同步使用有关网络安全保护措施。应依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准，在现有安全保护措施的基础上，全面梳理分析 安全保护需求，并结合等级测评过程中发现的问题隐患，按照“一个中心（安全管理中心）、 三重防护（安全通信网络、安全区域边界、安全计算环境）”的要求，认真开展网络安全建 设和整改加固，全面落实安全保护技术措施。网络运营者可将网络迁移上云，或将网络安全 服务外包，充分利用云服务商和网络安全服务商提升网络安全保护能力和水平。应全面加强 网络安全管理，建立完善人员管理、教育培训、系统安全建设和运维等管理制度，加强机房、 设备和介质安全管理，强化重要数据和个人信息保护，制定操作规范和工作流程，加强日常 监督和考核，确保各项管理措施有效落实。 （四）强化安全责任落实。行业主管部门、网络运营者应依据《网络安全法》等法律法 规和有关政策要求，按照“谁主管谁负责、谁运营谁负责”的原则，厘清网络安全保护边界， 明确安全保护工作责任，建立网络安全等级保护工作责任制，落实责任追究制度，作到“守 土有责、守土尽责”。网络运营者要定期组织专门力量开展网络安全自查和检测评估，行业 主管部门要组织风险评估，及时发现网络安全隐患和薄弱环节并予以整改，不断提高网络安 全保护能力和水平。 （五）加强供应链安全管理。网络运营者应加强网络关键人员的安全管理，第三级以上 网络运营者应对为其提供设计、建设、运维、技术服务的机构和人员加强管理，评估服务过 程中可能存在的安全风险，并采取相应的管控措施。网络运营者应加强网络运维管理，因业 务需要确需通过互联网远程运维的，应进行评估论证，并采取相应的管控措施。网络运营者 应采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务，第三级以上网络运 营者应积极应用安全可信的网络产品及服务。 （六）落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法律法规规定 和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段，按 照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全 性评估。 三、建立并实施关键信息基础设施安全保护制度 公安机关指导监督关键信息基础设施安全保护工作。各单位、各部门应加强关键信息基 础设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设，建立 并实施关键信息基础设施安全保护制度，在落实网络安全等级保护制度基础上，突出保护重 点，强化保护措施，切实维护关键信息基础设施安全。 （一）组织认定关键信息基础设施。根据党中央和公安部有关规定，公共通信和信息服 务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域