公安部 1960 号《贯彻落实网络安全等保制度和关保 制度的指导意见》 贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见 网络安全等级保护制度和关键信息基础设施安全保护制度是党中央有关文件和《网络安全 法》确定的基本制度。近年来，各单位、各部门按照中央网络安全政策要求和《网络安全 法》等法律法规规定，全面加强网络安全工作，有力保障了国家关键信息 基础设施、重要网络和数据安全。但随着信息技术飞速发展，网络安全工作仍面临一些新 形势、新任务和新挑战。为深入贯彻落实网络安全等级保护制度和关键信息基础设施安全 保护制度，健全完善国家网络安全综合防控体系，有效防范网络安全威胁，有力处置网络 安全事件，严厉打击危害网络安全的违法犯罪活动，切实保障国家网络安全，特制定以下 指导意见。 1 一、指导思想、基本原则和工作目标 （一）指导思想 以习近平新时代中国特色社会主义思想为指导，按照党中央、国务院决策部署，以总体国 家安全观为统领，认真贯彻实施网络强国战略，全面加强网络安全工作统筹规划，以贯彻 落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础，以保 护关键信息基础设施、重要网络和数据安全为重点，全面加强网络安全防范管理、监测预 警、应急处置、侦查打击、情报信息等各项工作，及时监测、处置网络安全风险、威胁和 网络安全突发事件，保护关键信息基础设施、重要网络和数据免受攻击、侵入、干扰和破 坏，依法惩治网络违法犯罪活动，切实提高网络安全保护能力，积极构建国家网络安全综 合防控体系，切实维护国家网络空间主权、国家安全和社会公共利益，保护人民群众的合 法权益，保障和促进经济社会信息化健康发展。 （二）基本原则 —坚持分等级保护、突出重点。根据网络（包含网络设施、信息系统、数据资源等）在国 家安全、经济建设、社会生活中的重要程度，以及其遭到破坏后的危害程度等因素，科学 确定网络的安全保护等级，实施分等级保护、分等级监管，重点保障关键信息基础设施和 第三级（含第三级、下同）以上网络的安全。 —坚持积极防御、综合防护。按照法律法规和有关国家标准规范，充分利用人工智能、大 数据分析等技术，积极落实网络安全管理和技术防范措施，强化网络安全监测、态势感 知、通报预警和应急处置等重点工作，综合采取网络安全保护、保卫、保障措施，防范和 遏制重大网络安全风险、事件发生，保护云计算、物联网、新型互联网、大数据、智能制 造等新技术应用和新业态安全。 —坚持依法保护、形成合力。依据《网络安全法》等法律法规规定，公安机关依法履行网 络安全保卫和监督管理职责，网络安全行业主管部门（含监管部门，下同）依法履行本行 业网络安全主管、监管责任，强化和落实网络运营者主体防护责任，充分发挥和调动社会 各方力量，协调配合、群策群力，形成网络安全保护工作合力。 （三）工作目标 —网络安全等级保护制度深入贯彻实施。网络安全等级保护定级备案、等级测评、安全建 设和检查等基础工作深入推进。网络安全保护“实战化、体系化、常态化”和“动态防御、主 动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实，网 络安全保护良好生态基本建立，国家网络安全综合防护能力和水平显著提升。 —关键信息基础设施安全保护制度建立实施。关键信息基础设施底数清晰，安全保护机构 健全、职责明确、保障有力。在贯彻落实网络安全等级保护制度的基础上，关键信息基础 设施涉及的关键岗位人员管理、供应链安全、数据安全、应急处置等重点安全保护措施得 到有效落实，关键信息基础设施安全防护能力明显增强。 —网络安全监测预警和应急处置能力显著提升。跨行业、跨部门、跨地区的立体化网络安 全监测体系和网络安全保护平台基本建成，网络安全态势感知、通报预警和事件发现处置 能力明显提高。网络安全预案科学齐备，应急处置机制完善，应急演练常态化开展，网络 安全重大事件得到有效防范、遏制和处置。 —网络安全综合防控体系基本形成。网络安全保护工作机制健全完善，党委统筹领导、各 部门分工负责、社会力量多方参与的网络安全工作格局进一步完善。网络安全责任制得到 有效落实，网络安全管理防范、监督指导和侦查打击等能力显著提升，“打防管控”一体化 的网络安全综合防控体系基本形成。 二、深入贯彻实施国家网络安全等级保护制度 2 按照国家网络安全等级保护制度要求，各单位、各部门在公安机关指导监督下，认真组 织、深入开展网络安全等级保护工作，建立良好的网络安全保护生态，切实履行主体责 任，全面提升网络安全保护能力。 （一）深化网络定级备案工作。网络运营者应全面梳理本单位各类网络，特别是云计算、 物联网、新型互联网、大数据、智能制造等新技术应用的基本情况，并根据网络的功能、 服务范围、服务对象和处理数据等情况，科学确定网络的安全保护等级，对第二级以上网 络依法向公安机关备案，并向行业主管部门报备。对新建网络，应在规划设计阶段确定安 全保护等级。公安机关对网络运营者提交的备案材料和网络的安全保护等级进行审核，对 定级结果合理、备案材料符合要求的，及时出具网络安全等级保护备案证明。行业主管部 门可以依据《网络安全等级保护定级指南》国家标准，结合行业特点制定行业网络安全等 级保护定级指导意见。 （二）定期开展网络安全等级测评。网络运营者应依据有关标准规范，对已定级备案网络 的安全性进行检测评估，查找可能存在的网络安全问题和隐患。第三级以上网络运营者应 委托符合国家有关规定的等级测评机构，每年开展一次网络安全等级测评，并及时将等级 测评报告提交受理备案的公安机关和行业主管部门。新建第三级以上网络应在通过等级测 评后投入运行。网络运营者在开展测评服务过程中要与测评机构签署安全保密协议，并对 测评过程进行监督管理。公安机关要加强对本地等级测评机构的监督管理，建立测评人员 背景审查和人员审核制度，确保等级测评过程客观、公正、安全。 （三）科学开展安全建设整改。网络运营者应在网络建设和运营过程中，同步规划、同步 建设、同步使用有关网络安全保护措施。应依据《网络安全等级保护基本要求》《网络安 全等级保护安全设计技术要求》等国家标准，在现有安全保护措施的基础上，全面梳理分 析安全保护需求，并结合等级测评过程中发现的问题隐患，按照“一个中心（安全管理中 心）、三重防护（安全通信网络、安全区域边界、安全计算环境）”的要求，认真开展网络 安全建设和整改加固，全面落实安全保护技术措施。网络运营者可将网络迁移上云，或将 网络安全服务外包，充分利用云服务商和网络安全服务商提升网络安全保护能力和水平。 应全面加强网络安全管理，建立完善人员管理、教育培训、系统安全建设和运维等管理制 度，加强机房、设备和介质安全管理，强化重要数据和个人信息保护，制定操作规范和工 作流程，加强日常监督和考核，确保各项管理措施有效落实。 （四）强化安全责任落实。行业主管部门、网络运营者应依据《网络安全法》等法律法规 和有关政策要求，按照“谁主管谁负责、谁运营谁负责”的原则，厘清网络安全保护边界， 明确安全保护工作责任，建立网络安全等级保护工作责任制，落实责任追究制度，作到“守 土有责、守土尽责”。网络运营者要定期组织专门力量开展网络安全自查和检测评估，行业 主管部门要组织风险评估，及时发现网络安全隐患和薄弱环节并予以整改，不断提高网络 安全保护能力和水平。 （五）加强供应链安全管理。网络运营者应加强网络关键人员的安全管理，第三级以上网 络运营者应对为其提供设计、建设、运维、技术服务的机构和人员加强管理，评估服务过 程中可能存在的安全风险，并采取相应的管控措施。网络运营者应加强网络运维管理，因 业务需要确需通过互联网远程运维的，应进行评估论证，并采取相应的管控措施。网络运 营者应采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务，第三级以上 网络运营者应积极应用安全可信的网络产品及服务。 （六）落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法律法规规定和 密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护，并使用符 合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段， 按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用 安全性评估。 三、建立并实施关键信息基础设施安全保护制度 3 公安机关指导监督关键信息基础设施安全保护工作。各单位、各部门应加强关键信息基础 设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设，建立 并实施关键信息基础设施安全保护制度，在落实网络安全等级保护制度基础上，突出保护 重点，强化保护措施，切实维护关键信息基础设施安全。 （一）组织认定关键信息基础设施。根据党中央和公安部有关规定，公共通信和信息服 务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的 主管、监管部门（以下统称保护工作部门）应制定本行业、本领域关键信息基础设施认定 规则并报公安部备案。保护工作部门根据认定规则负责组织认定本行业、本领域关键信息 基础设施，及时将认定结果通知相关设施运营者并报公安部。应将符合认定条件的基础网 络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造 系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。关键信息基础 设施清单实行动态调整机制，有关网络设施、信息系统发生较大变化，可能影响其认定结 果的，运营者应及时将相关情况报告保护工作部门，保护工作部门应组织重新认定，将认 定结果通知运营者，并报公安部。 （二）明确关键信息基础设施安全保护工作职能分工。公安部负责关键信息基础设施安全 保护工作的顶层设计和规划部署，会同相关部门健全完善关键信息基础设施安全保护制度 体系。保护工作部门负责对本行业、本领域关键信息基础设施安全保护工作的组织领导， 根据国家网络安全法律法规和有关标准规范要求，制定并实施本行业、本领域关键信息基 础设施安全总体规划和安全防护策略，落实本行业、本领域网络安全指导监督责任。关键 信息基础设施运营者负责设置专门安全管理机构，组织开展关键信息基础设施安全保护工 作，主要负责人对本单位关键信息基础设施安全保护负总责。 （三）落实关键信息基础设施重点防护措施。关键信息基础设施运营者应依据网络安全等 级保护标准开展安全建设并进行等级测评，发现问题和风险隐患要及时整改；依据关键信 息基础设施安全保护标准，加强安全保护和保障，并进行安全检测评估。要梳理网络资 产，建立资产档案，强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护 等重点保护措施，合理分区分域，收敛互联网暴露面，加强网络攻击威胁管控，强化纵深 防御，积极利用新技术开展网络安全保护，构建以密码技术、可信计算、人