近日
国家互联网信息办公室发布
《国家网络安全事件报告管理办法》
(以下简称《办法》)
自2025年11月1日起施行
《办法》共十四条
主要对网络安全事件报告
适用范围、监管职责、报告主体、
报告流程、报告时限、报告内容等
提出规范要求
问:请介绍一下《办法》的出台背景?
答:一是控制和减少网络安全事件造成的损失和危害。近年来,各类网络安全事件频发,影响范围和危害程度不断升级。从网络安全事件应急处置工作实践来看,发生网络安全事件后,及时向有关部门报告,有利于及时处置网络安全事件,防止危害扩大或产生不良社会影响。
二是细化完善《中华人民共和国网络安全法》(以下简称《网络安全法》)等法律法规中有关规定的客观需要。《网络安全法》第二十五条明确,网络运营者应当在发生危害网络安全的事件时,按照规定向有关部门报告。《办法》作为专门规定,为网络运营者明确了网络安全事件报告的具体要求。
三是借鉴国际通行做法。网络安全事件报告是国际惯例,近年来,美国、欧盟、澳大利亚、印度等均通过立法或指令建立强制性的网络安全事件报告义务,明确网络运营者事件报告时限等要求。
问:《办法》的主要内容有哪些?
答:一是明确了网络运营者的报告义务。《办法》规定,网络运营者在发生网络安全事件时,应当按照本办法的规定进行报告。
二是明确了网络安全事件报告的监管职责。《办法》明确,国家网信部门负责统筹协调全国网络安全事件报告管理工作,省级网信部门负责统筹协调本行政区域内网络安全事件报告管理工作。
三是明确了网络安全事件报告的流程和时限要求。《办法》针对关键信息基础设施、中央和国家机关及直属单位,以及其他网络运营者,分别明确了网络安全事件报告的流程和时限要求。
四是明确了网络安全事件报告的渠道。《办法》明确,网信部门建设12387网络安全事件报告热线电话、网站、邮箱、传真等方式,统一接收网络安全事件报告。
此外,《办法》还明确,对迟报、漏报、谎报或者瞒报网络安全事件造成重大危害后果的运营者依法从重处罚;对采取合理必要的防护措施,有效降低网络安全事件影响和危害,并按照规定及时报告的运营者,可视情从轻或不予追究责任。
问:网络安全事件如何分级?
答:《办法》中明确了《网络安全事件分级指南》,作为《办法》附件。《网络安全事件分级指南》参照国家标准《信息安全技术 网络安全事件分类分级指南》(GB/T 20986-2023)制定,以有限枚举的方式给出特别重大、重大、较大、一般等四个级别网络安全事件的分级定量指标。
