我国网络安全基本制度的建立与实施

文 | 公安部十一局原副局长、一级巡视员、总工程师 郭启全

我国自提出“一带一路”倡议以来，始终秉持共商、共享、共建原则，与共建国家在政策沟通、设施联通、贸易畅通、资金融通、民心相通等各方面展开了深入合作，取得了丰硕成果。网络安全是构建网络空间命运共同体的关键基础和重要保障，在“一带一路”倡议推进过程中，深入推动实施“一带一路”网络安全国际交流与合作十分重要。我国的网络安全等级保护制度是《中华人民共和国网络安全法》（以下简称《网络安全法》）等法律法规和国家有关政策文件确立的网络安全领域的基本制度，在维护我国国家安全、社会秩序和公共利益，以及保障我国经济健康发展等方面发挥了重要作用。本文旨在探讨我国网络安全等级保护制度的演进与确立，阐述我国相关网络安全制度及其内在关系，以及网络安全等级保护制度的发展历程、主要内容、实施方法与成效等，为“一带一路”沿线国家开展网络安全工作提供参考和借鉴。

一、我国网络安全等级保护制度的演进与确立

长期以来，我国颁布了一系列网络安全相关的法律法规和政策文件，对网络安全等级保护制度建设提出了明确要求，确立了网络安全等级保护制度。

（一）信息安全等级保护制度的提出及政策演进

1994年，国务院正式发布的《中华人民共和国计算机信息系统安全保护条例》第九条规定，计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。该条款首次以行政法规的形式，明确了计算机信息系统实行安全等级保护制度，为后续相关法律和规章制度的出台奠定了基础。

随着时代的不断演进与信息技术的迅猛发展，我国计算机信息系统安全等级保护制度持续进步与完善。2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》指出，实行信息安全等级保护，要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。2004年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室印发的《关于信息安全等级保护工作的实施意见》指出，信息安全等级保护制度是在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。2007年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室印发《信息安全等级保护管理办法》，其核心是在全国范围内实施信息安全等级保护制度。一系列规章制度的出台，标志着我国信息安全等级保护制度进入实操阶段，信息安全管理工作更加有法可依。

（二）网络安全等级保护制度的确立

2017年6月，《网络安全法》正式实施，该法第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。《网络安全法》的颁布实施不仅确立了网络安全等级保护制度，也标志着该制度从行政法规层面上升到了国家法律层面。

“信息安全等级保护制度”演变为“网络安全等级保护制度”，名称变了，内涵和外延也发生了重大演变，科学完备的网络安全等级保护制度，在国家网络安全和综合治理能力提升方面发挥了关键作用。通过实施网络安全等级保护制度，我国在网络安全建设方面实现了三个目标：一是确保网络运营者在网络建设过程中同步规划、同步建设、同步使用网络安全保护措施，履行网络安全保护责任和义务；二是确保产品供应商在IT产品和网络安全产品的设计制造中落实国家网络安全要求；三是确保网络安全服务商在安全服务中落实国家网络安全要求，提供安全、可靠、可信的服务能力，为我国建设网络强国保驾护航。自此，我国网络安全等级保护制度进入新时代。

二、我国网络安全制度及其内在关系

我国网络安全法律法规确定的网络安全保护制度，主要包括网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全保护制度和个人信息保护制度等，共同构成了我国网络安全保护制度体系。在网络安全保护环节，个人信息纳入数据安全保护范畴，因此，本文只介绍前三项制度的关系。明确三项制度之间的内在关系至关重要，这涉及在开展网络安全工作时，如何进行统筹规划、顶层设计、方案制定和组织落实。

《网络安全法》第三十一条规定，关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。《关键信息基础设施安全保护条例》第五条规定，国家对关键信息基础设施实行重点保护。《中华人民共和国数据安全法》（以下简称《数据安全法》）第二十七条规定，利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。

在我国网络安全制度体系中，网络安全等级保护制度是基础，关键信息基础设施安全保护制度和数据安全保护制度是重点（即“一个基础、两个重点”），体现了网络安全等级保护制度的基础性地位。《关键信息基础设施安全保护条例》和《数据安全法》将网络安全等级保护制度延伸到关键信息基础设施安全保护领域和数据安全保护领域，并将网络安全等级保护制度作为二者的基础，从法律层面确定了三项制度之间的关系。

关键信息基础设施和重要数据是网络安全保护的重中之重，建立科学的关键信息基础设施安全保护制度和数据安全保护制度是网络安全领域的重要任务。我国建立了科学完备的网络安全等级保护制度，主要体现在法规、政策、标准等方面的协调一致和有机衔接。图1体现了三项制度的内在关系：从图的纵向看，每项制度的建立在法规、政策、标准三个方面均需协调一致；从图的横向看，三项制度间在法规、政策、标准等方面也要协调一致。

图1 网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全保护制度的内在关系

三、我国网络安全等级保护制度的主要内容

我国网络安全等级保护制度的主要内容：一是对网络（包括信息系统和数据等）实施分等级保护；二是对网络和网络运营者分等级进行监督管理；三是对网络中使用的网络安全产品实行按等级管理；四是对网络中发生的安全事件分等级进行响应和处置。图2展示了网络安全等级保护制度与国家网络安全总体策略的关系。在我国网络安全等级制度中，保护对象包括网络、信息系统、云平台、大数据、工控系统、物联网、移动互联、新技术新应用等，支撑网络安全保卫、保护、保障。网络安全等级保护制度强调建设安全管理中心、安全计算环境、安全区域边界、安全通信网络（即“一个中心、三重防护”）。

图2 网络安全等级保护制度与国家网络安全总体策略的关系

我国网络安全等级保护制度具体环节包括：网络定级、网络备案、等级测评、安全建设整改和监督检查。

（一）网络定级

网络安全等级保护制度根据网络（包括网络设施、信息系统、数据资源等）的重要性，以及遭受破坏后对国家安全、社会秩序、公共利益和公民、法人合法权益造成的危害程度进行综合判别，将网络划分为五个安全保护等级，从第一级到第五级，逐级增高。

第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。第三级，一旦受到破坏会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。第五级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

网络的安全保护等级是网络本身的客观自然属性，不以已采取或将采取什么安全保护措施为依据，而是以网络的重要性和网络遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据来确定其安全保护等级。网络运营者根据《信息安全技术 网络安全等级保护定级指南》（GB/T22240-2020）拟定网络的安全保护等级，对拟定的安全保护等级进行专家评审，出具专家评审意见。网络定级是网络安全等级保护工作的首要任务和关键环节，是开展网络备案、安全建设整改、等级测评、监督检查工作的重要基础。

（二）网络备案

网络安全等级保护备案工作包括：网络备案、受理、审核和备案信息管理等环节。网络安全保护等级确定后，网络运营者按照相关管理规定，将网络定级结果和备案材料提交公安机关进行备案审核。公安机关收到网络运营者备案材料后，对网络定级的准确性进行审核。网络定级准确、定级材料符合要求的，公安机关颁发由公安部统一监制的“网络安全等级保护备案证明”。

（三）等级测评

网络安全等级保护的等级测评活动是国家网络安全等级保护制度规定的工作环节，是网络运营者和测评机构依据网络安全等级保护政策规定，按照有关技术标准和规范，对非涉密的网络系统开展安全检测评估的活动。

网络运营者选择符合国家规定条件的等级测评机构，依据国家网络安全等级保护制度规定，对第三级（含）以上网络每年开展一次网络安全等级测评，并及时将等级测评报告提交受理备案的公安机关和行业主管部门。等级测评机构依据《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）等有关标准规范，对网络开展检测评估，查找可能存在的网络安全问题和隐患，分析威胁风险并提出安全建设整改意见。

开展等级测评的目的体现在三个方面：一是发现网络系统中存在的安全问题，掌握网络的安全状况、排查网络的安全隐患和薄弱环节，评估网络安全威胁、风险，确定网络系统安全建设整改需求；二是判断网络系统的安全保护管理措施和技术措施是否符合网络安全等级保护的基本要求，是否具备相应等级的安全保护能力；三是等级测评结果为行业主管部门开展行业网络安全监管、公安机关开展网络安全监督检查提供支持。

（四）安全建设整改

安全建设整改是网络安全等级保护制度的核心内容，是网络安全等级保护工作五个规定动作中的重要一环。通过开展安全建设和整改，将国家网络安全法律、政策和标准要求，以及机构的使命性要求，作为网络系统的安全需求，网络系统可以按照网络安全等级保护相应等级的安全要求进行设计、规划和实施，使网络系统达到相应等级的基本保护水平和保护能力。

网络运营者根据网络的安全保护等级，按照国家有关法律、政策以及《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术—网络安全等级保护安全设计技术要求》（GB/T 25070-2019）等国家标准，开展安全建设整改。网络运营者按照国家标准中“一个中心、三重防护”的要求，认真开展网络安全建设和整改加固，建设安全设施，落实安全措施和安全责任，建立和落实安全管理制度，提升网络安全综合防御能力，有效应对网络安全威胁和挑战。

开展安全建设和整改的目的体现在五个方面：一是显著提高网络安全管理水平；二是增强网络安全防范能力；三是及时发现和消除网络安全隐患，遏制网络安全事件发生；四是有效保障数字化和信息化健康发展；五是有效维护国家安全、社会秩序、公共利益和公民、法人合法权益。

（五）监督检查

公安机关依据《中华人民共和国人民警察法》《网络安全法》等法律法规，对第二级网络运营者的网络安全工作进行指导，对第三级、第四级网络运营者的网络安全工作定期开展监督检查；监督检查网络运营者开展网络安全保护各项工作情况和网络安全状况，发现问题和隐患等，提出整改意见并督办整改。公安机关从网络安全保障工作、网络安全等级保护工作、关键信息基础设施安全保护工作、数据安全保护工作、网络安全信息通报预警工作、事件应急处置工作等方面，对网络运营者开展监督检查，对行业主管部门开展监督指导。

四、我国网络安全等级保护制度的实施

依据《网络安全法》和有关国家政策标准，在公安机关的监督管理和指导下，各地区、各部门依法开展网络安全等级保护工作，全面落实“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施，建立良好的网络安全保护生态，全面提升网络安全基础支撑能力。

（一）加强顶层设计和制度设计

建立完善网络安全领导体系和工作体系，加强对网络安全工作的组织领导；开展顶层设计和规划，制定网络安全规划和行业标准规范，将网络安全等级保护制度与其他制度有机结合；建立网络安全责任制和问责制度，落实行业主管责任和网络运营者主体责任。

（二）深化网络安全等级保护制度的落实

加强网络安全等级保护定级备案工作，制定网络安全等级保护建设方案并实施；认真组织开展网络安全等级测评工作，制定网络安全整改方案并实施；强化物理环境基础设施安全保障、通信网络安全保护、区域边界安全保护、计算环境安全保护，构建网络安全管理中心；健全完善网络安全管理体系，加强数据全生命周期安全保护，强化供应链安全管理，采取多种方式检验安全保护措施的有效性。

（三）强化新生态新业态的网络安全保护

加强云平台、移动互联网络、物联网、工业控制系统、大数据及平台的安全保护，强化自主可控和创新工程安全管理，对采用5G网络技术、区块链技术架构、IPv6技术的网络系统加强安全保护。

（四）大力提升网络安全综合防护能力

科学设计和建设网络安全综合业务平台，支撑网络安全重要业务开展和“挂图作战”。落实网络安全实时监测措施，完善网络与信息安全信息通报机制，建立重大事件和威胁报告制度，落实事件处置措施，落实技术应对措施，提升技术对抗能力和综合防御能力；加强网络安全经费保障、网络安全教育训练和人才培养。

五、我国网络安全等级保护制度的国际示范价值

我国网络安全等级保护制度之所以能够取得成功，主要经验如下：一是有国家的法律法规和政策保障，有科学完备且符合我国国情的顶层设计，一张蓝图绘到底；二是有国家相关部门的坚强领导，常态化监督管理，建立“打防管控”一体化的网络安全综合防御体系；三是有一大批专家的智慧奉献，全力指导；四是有行业主管部门、网络运营者强有力的组织落实；五是有网络企业的大力支持和全力推动，在借鉴发达国家先进技术的基础上开展自主创新，壮大网络安全产业发展；六是相关职能部门积极出台政策、制定标准规范，在法律法规、政策、工程、经费、人才培养等多个层面大力强化保障措施。

此外，我国可与“一带一路”沿线国家共享网络安全等级保护经验，在政策、标准与措施等方面开展交流合作，以支持各国建立良好的网络安全生态。《中国网络安全等级保护制度理解与实施》（Interpretation and Implementation of Cybersecurity Classified Protection System in China）、《网络安全等级保护基本要求应用指南》（Interpretation and Implementation of the Baseline for Classified Protection of Cybersecurity）、《网络安全等级保护测评要求应用指南》（Interpretation and Implementation of the Evaluation Requirements for Classified Protection of Cybersecurity）等资料，可为有关国家的相关部门、网络安全企业、科研机构、高等院校提供参考，从而共同构建网络空间命运共同体，实现共同繁荣进步。

（本文刊登于《中国信息安全》杂志2025年第9期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。