2025年等级保护新规有哪些变化?
前言
网络安全等级保护制度是我国网络安全领域的基本制度,等级保护制度的核心法律依据是2017年6月1日正式施行的《中华人民共和国网络安全法》。为了强化对信息系统的保护,适应新时代网络安全挑战,2019年12月1日,GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》正式实施,网络安全等级保护正式进入2.0时代,各行业、领域网络运营者深入贯彻实施国家网络安全等级保护制度,开展网络安全等级保护工作,确保网络安全等级保护定级备案、等级测评、建设整改等工作有效开展。
2025年,随着公安部《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)和《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号)等新规的发布,等保2.0在持续运行中迎来了重要的深化与细化,本期【等保百科】系列第7期,聚焦2025年新规施行下等级保护制度内涵的升级,带您深入理解等级保护制度的新变化,掌握合规新要求,筑牢网络安全防线、保障业务持续安全发展。
PART1
等保2.0的特点
“一个中心、三重防护”新理念
以安全管理中心为核心,建立安全计算环境、安全区域边界和安全通信网络三重防护体系。
保护对象范围扩展
保护对象由传统信息系统扩展至云计算、移动互联、物联网、工业控制、大数据等新型技术场景。
标准架构统一整合
等保2.0将原有分散标准统一为“安全通用要求+新应用安全扩展要求”的框架,强化纵深防御思想。
可信计算全面强化
把可信验证列入各个级别要求,强调通过密码技术、可信验证建立主动防御体系。
PART2
等保2.0标准体系
等保2.0标准体系以《网络安全法》第21条为法律基础,配套形成由GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》、GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》三大核心标准构成的“基本要求+测评要求+设计要求”框架,并辅以GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》、GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》、GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》等支撑性标准,全面覆盖等级保护定级备案、测评与整改全流程。
▪️GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》:规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。
▪️GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》:规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。
▪️GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》:规定了网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求,提供安全架构设计指南。
▪️GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》:规定了等级保护对象实施网络安全等级保护工作的过程。
▪️GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》:规范了网络安全等级保护测评工作过程,规定了测评活动及其工作任务。
▪️GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》:明确了非涉密等级保护对象的定级方法与流程。
PART3
等保2.0在2025年的最新变化
2025年,公安部陆续印发了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)、《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号)、《网络安全等级保护测评高风险判定实施指引(试行)》(公网安〔2025〕2391号),并明确测评机构使用《网络安全等级测评报告模版(2025版)》出具测评报告,为等保2.0注入了新内涵,带来了新变化:
测评结论体系重构:三级判定取代百分制
➤取消分数制:放弃百分制和“优、良、中、差”四档评价,改用“符合、基本符合、不符合”三级判定体系。
➤引入重大风险隐患判断:首次引入重大风险隐患概念,并结合符合率最终评定测评结论。根据重大风险隐患判定原则(相关性原则、严重性原则、高发性原则)进行综合分析,判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发,还可能是多个高、中、低安全问题的叠加。例如,即使符合率超过 90%,若存在重大风险隐患仍判定为 "基本符合"。
➤结论判定机制
备案管理精细化:全面梳理与属地规则
➤全面重新备案:要求所有二级及以上系统,无论级别是否变更,均需在2025年11月30日前按照2025版模板重新填报备案材料。
➤备案证明有效期统一:备案证明有效期统一为三年,2025年前备案的系统从2025年1月1日起重新计算。二级系统需在备案证明到期前3个月主动申请延期,三级及以上系统完成测评后自动续期1年。
➤备案地规则明确:跨省、省内跨地(市),或全国联网运行的网络系统,按照属地管辖原则由省级公安机关网安部门受理备案或其指定地市级公安机关网安部门受理备案。
➤统一定级分支系统的备案受理安排:跨省或全国统一联网运行并由主管部门统一定级的网络系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的网络),由所在地地市级以上公安机关网安部门受理备案。
数据安全强制要求:摸底调查与分类分级
➤数据摸底成为必备项:第二级(含)以上网络系统运营者必须同步报送《数据摸底调查表》至属地公安机关,要求依据《数据安全法》完成数据分类分级。
➤填报规范精细化:《数据摸底调查表》要求按最小数据类别(如“身份证号”“银行卡号”)非字段级别填写,每类数据单独填表。
➤定级与数据级别挂钩:重要数据系统至少定为第三级,核心数据系统至少定为第四级,数据分类分级成为定级前置条件。
保护工作方案强制实施:三级系统的年度作业
➤内容要求:第三级(含)以上网络系统运营者需以定级责任单位为主体提交保护工作方案,保护工作方案以年度测评中发现的重大风险隐患为重点,同时统筹考量高中低风险问题,全面梳理分析安全保护需求。
➤内容涵盖:资产情况(互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等;
➤时间节点:2025年6月30日前向属地公安机关报送首批保护工作方案,后续每年12月31日前提交。
第五级网络系统专项监管:国家战略级防护
➤定义升级:明确第五级系统为"对国家安全或国计民生造成特别严重损害"的网络,包括能源管理、金融核心交易等关键领域,首次明确将能源、金融等领域纳入关键基础设施的核心系统。
➤测评依据:第五级系统需在GB/T 22239《信息安全技术—网络安全等级保护基本要求》第四级要求基础上,参考《关键信息基础设施安全测评要求》(GA/T 2182-2024)执行测评,并与关键信息基础设施协同防护。
➤测评频率:与第三、四级网络系统保持一致,每年开展一次等级测评工作。
风险评估依据更新:威胁模型全面升级
➤标准升级:等保2.0风险评估依据从GB/T 20984-2007更新为GB/T 20984-2022,新增云原生环境威胁指标完善工控系统评估模型,细化APT攻击检测标准,要求渗透测试报告必须标注APT攻击检测点,明确验证横向移动阻断、数据外传监控等关键防御能力。
总结来说,随着网络安全威胁的不断演变,等保制度也在持续升级和完善,网络安全等级保护制度在2025年的深化,标志着我国网络安全防护体系进入精准化管控新阶段。三重防护体系、数据安全强制要求与重大风险隐患管理,共同构成了新一代网络安全基础设施的支柱。对网络运营者而言,深入理解等级保护制度在新时期的内涵,不仅是合规要求,更是构建数字时代核心竞争力的关键。
内容来源:计算机与网络安全
= END =
