公安部处置重大网络安全事件切实保障关键信息基础设施、重要网络和数据安全

为深入贯彻落实党中央有关文件和《网络安全法》精神，引导重点行业和部门全面落实网络安全等级保护制度和关键信息基础设施安全公安部近日印发《贯彻落实安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，进一步完善国家网络安全综合防控体系，有效防范网络安全威胁，有效处置重大网络安全事件，有效保护关键信息基础设施和重要网络与数据安全。

网络安全等级保护体系

01 法律政策依据

1994年，国家规定对计算机信息系统实施安全等级保护

1994年2月18日，中华人民共和国国务院令第147号发布《中华人民共和国计算机信息系统安全保护条例》，其中第六条规定：“公安部主管全国计算机信息系统安全保护工作”；第九条规定：“计算机信息系统实施安全等级保护，安全等级分类标准及安全等级保护的具体办法，由公安部会同有关部门制定”。

2007年，信息安全等级保护制度正式实施

2007年6月22日，公安部、国家保密局、国家密码管理局、原国务院信息工作办公室联合印发了《信息安全等级保护管理办法》（工通字[2007]43号），标志着分级保护制度的正式启动。

2017年，网络安全等级保护体系成为网络安全的基础体系

2017年6月1日，网络安全法正式实施。第二十一条规定，国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保护网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露、被盗或被篡改。

02 基本内容

简单来说，网络安全等级保护就是对网络进行分级保护和分级监管。有以下关键字：

评分。网络运营者将信息网络、信息系统、网络上的数据和信息按照重要程度和被破坏后的危害程度分为5个安全防护等级，从1级到5级，依次递增。

为了记录。等级确定后，二级（含）以上网络报公安机关备案。

构建。备案单位应当根据网络安全等级和国家安全标准，开展安全建设整治，建设安全设施，落实安全责任，建立并实施网络安全管理制度。

评估。备案单位选择符合国家要求的评价机构进行等级评价。

监督。公安机关对二级网络进行指导，定期对三、四级网络进行监督检查。

03 网络安全等级保护系统2.0 新功能

国家网络安全等级保护制度实施以来，已成为国家网络安全的基本制度和基本国策。随着经济社会发展和技术进步，等级保护制度进入2.0时代。

网络安全等级保护体系2.0 在1.0的基础上，实现新技术、新应用安全保护对象和安全保护领域的全覆盖，突出技术思维和三立体防御，注重全方位主动防御、动态防御、整体防护和精准防护，强化“一个中心、三重防护”的安全防护体系，融合云计算、物联网、移动互联网等新技术、工控系统、大数据纳入新的所有应用都纳入保护范畴。

关键信息基础设施安全防护体系

《网络安全法》第31条规定，国家对公共通信和信息服务、能源、交通、水利、公共服务、电子政务等重要行业和领域实行限制，以及作为其他重要行业和领域，一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生和公共利益关键信息基础设施。在网络安全等级保护体系的基础上，实现密钥保护。

习近平总书记强调，“金融、能源、电力、通信、交通等领域的关键信息基础设施，是经济社会运行的神经中枢，是网络安全的重中之重、目标可能的关键攻击……”从全球范围看，各国网络安全立法的核心是保护关键信息基础设施。加强关键信息基础设施的安全保护，既是我国严峻的网络安全形势的迫切需要，也是有效落实国家安全的必然要求。

公安机关按照《网络安全法》和中央文件精神，指导和监督关键信息基础设施的安全保护工作。我部正在建立健全和实施关键信息基础设施安全保障制度，指导各单位、各部门加强关键信息基础设施安全的法律体系、政策体系、标准体系、防护体系、安全体系和保障体系建设。在安全等级保护体系的基础上，突出保护重点，强化保护措施，有效维护关键信息基础设施的安全，全力提升关键信息基础设施的安全防护能力。

《指导意见》主要内容介绍

01确定了指导思想、基本原则和工作目标

《指导意见》以习近平新时代中国特色社会主义思想为指导，以国家安全大局为指导。

指导意见的三项原则。坚持分级保护，突出重点；坚持积极防御、全面保护；坚持法律保护，形成合力。

《指导意见》的四大目标。确保网络安全等级防护体系深入实施，关键信息基础设施安全防护体系建立实施，网络安全监测预警和应急响应能力显着提升，网络安全综合防控体系基本建成形成。

02深入贯彻落实国家网络安全等级保护制度

深化网络分级备案工作。全面梳理包括云计算、物联网、新互联网、大数据、智能制造等新技术应用在内的运营商网络状况，科学确定保护等级，依法向公安机关备案。行业主管部门根据《网络安全等级保护分级指南》国家标准，结合行业特点，制定行业网络安全等级保护分级指南。

定期进行网络安全级别评估。为对已分级备案的网络进行安全检测和评估，三级以上网络运营者每年委托符合国家有关规定的等级评估机构进行网络安全等级评估。公安机关应当加强对地方分级评价机构的监督管理中国网络安全能力图谱，确保分级评价过程客观、公正、安全。

科学开展安全施工整治。在网络建设和运营过程中，运营商应同时规划、建设和使用网络安全防护措施，并可以充分利用网络安全服务商通过网络上云或网络安全服务外包等方式提升网络安全防护能力.

强化安全责任落实。按照“谁负责、谁操作、谁负责”的原则，明确网络安全防护边界，建立网络安全分级防护工作责任制。

加强供应链安全管理。加强对网络关键人员的安全管理，购买和使用符合国家法律法规和相关标准规范要求的网络产品和服务。

强制执行密码安全要求。三级以上网络运营者在网络规划、建设和运营阶段，应当按照密码应用安全评估管理办法和相关标准，在网络安全等级评估中同时进行密码应用安全评估。

03 建立并实施关键信息基础设施安全防护体系

组织标识。组织公共通信与信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业部门和监管部门制定本行业关键信息基础设施认定规则并报公安部备案。组织对关键信息基础设施进行识别，并将识别结果及时告知相关设施经营者并向公安部报告。基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通信设施等符合认定条件的重点保护对象包含在关键信息基础设施中。

明确职能分工。公安部负责关键信息基础设施安全防护工作的顶层设计、规划和部署，防护工作部门负责组织领导本行业和领域的关键信息基础设施安全防护工作。

关键措施。重点信息基础设施运营者组织开展具体工作，开展安全建设和等级考核，梳理网络资产，建立资产档案，强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等，并积极使用它们。新技术进行网络安全防护。

数据和个人信息保护。加强对重要数据和个人信息的保护，将在中国境内运营过程中收集和产生的个人信息和重要数据进行存储。

核心岗位人员及产品和服务。加强核心岗位人员和产品服务的安全管理，采购安全可信的网络产品和服务。购买的产品和服务可能影响国家安全的中国网络安全能力图谱，应当按照国家有关规定通过安全审查，确保供应链安全。

04加强网络安全防护工作协作

行业主管部门、网络运营商和公安机关密切合作。

加强网络安全立体监控体系建设，对关键信息基础设施和重要网络进行实时监控。加强网络新技术研究与应用，研究绘制网络空间地理信息地图（网络地图）。行业主管部门和网络运营部门搭建行业和单位的网络安全防护业务平台，构建平台的智能大脑，与公安机关平台对接，形成融合、纵横联动的综合防控格局，和协同联动。重点行业、网络运营者、公安机关要建设网络安全监控指挥中心，建立规范、务实的网络安全工作机制。

加强网络安全信息共享和通报预警。依托国家网络与信息安全信息通报机制，加强各行业、各部门网络安全信息通报能力建设。

加强网络安全应急机制建设，定期开展应急演练，配合公安机关每年组织的网络安全监督检查、竞赛演练等工作。

加强网络安全事件的处置、案件调查和行政执法，公安机关建立挂牌监督制度，对网络安全工作不力的网络运营者和重大网络安全事件进行挂牌监督。

05加强网络安全工作各项保障工作

加强组织领导，将网络安全等级保护和关键信息基础设施安全保护工作列入各部门重要议程，研究解决网络安全机构、人员、资金、建设等重大问题，明确本单位主要负责人为网络安全第一责任人，成立专门的网络安全机构实施。

支持网络安全重点技术产业和项目，支持网络安全技术研发和创新应用，促进网络安全产业健康发展。

完善和完善网络安全考核评价体系，将网络安全工作纳入考核评价体系。

加强技术攻关，动员网络安全企业、科研机构、专家等社会力量积极参与网络安全核心技术研究。加强网络安全分级防护和关键信息基础设施安全防护标准制定，加强标准宣传、实施和应用，建设试点示范基地，促进我国网络安全产业和企业健康发展。

加强人才培养，通过组织竞赛等形式，发现和选拔高端技术人才，构建人才库，建立健全人才发现、培养、选拔、使用机制，提供做好网络安全工作的人才保障。

原政策：关键信息基础设施安全保护条例（国务院令第745号）