网络安全等级保护条例 （征求意见稿） 目 第一章 总 录 则.......................................... - 2 - 第二章 支持与保障 ...................................... - 4 第三章 网络的安全保护 .................................. - 5 第四章 涉密网络的安全保护 ............................. - 13 第五章 密码管理....................................... - 15 第六章 监督管理....................................... - 17 第七章 法律责任....................................... - 21 第八章 附 则......................................... - 23 - -1- 第一章 总 则 第一条【立法宗旨与依据】为加强网络安全等级保护工作， 提高网络安全防范能力和水平，维护网络空间主权和国家安全、 社会公共利益，保护公民、法人和其他组织的合法权益，促进 经济社会信息化健康发展，依据《中华人民共和国网络安全法》、 《中华人民共和国保守国家秘密法》等法律，制定本条例。 第二条【适用范围】在中华人民共和国境内建设、运营、 维护、使用网络，开展网络安全等级保护工作以及监督管理， 适用本条例。个人及家庭自建自用的网络除外。 第三条【确立制度】国家实行网络安全等级保护制度，对网 络实施分等级保护、分等级监管。 前款所称“网络”是指由计算机或者其他信息终端及相关设 备组成的按照一定的规则和程序对信息进行收集、存储、传输、 交换、处理的系统。 第四条【工作原则】网络安全等级保护工作应当按照突出重 点、主动防御、综合防控的原则，建立健全网络安全防护体系， 重点保护涉及国家安全、国计民生、社会公共利益的网络的基础 设施安全、运行安全和数据安全。 网络运营者在网络建设过程中，应当同步规划、同步建设、 同步运行网络安全保护、保密和密码保护措施。 -2- 涉密网络应当依据国家保密规定和标准，结合系统实际进 行保密防护和保密监管。 第五条【职责分工】中央网络安全和信息化领导机构统一 领导网络安全等级保护工作。国家网信部门负责网络安全等级 保护工作的统筹协调。 国务院公安部门主管网络安全等级保护工作，负责网络安 全等级保护工作的监督管理，依法组织开展网络安全保卫。 国家保密行政管理部门主管涉密网络分级保护工作，负责 网络安全等级保护工作中有关保密工作的监督管理。 国家密码管理部门负责网络安全等级保护工作中有关密码 管理工作的监督管理。 国务院其他有关部门依照有关法律法规的规定，在各自职 责范围内开展网络安全等级保护相关工作。 县级以上地方人民政府依照本条例和有关法律法规规定， 开展网络安全等级保护工作。 第六条【网络运营者责任义务】网络运营者应当依法开展 网络定级备案、安全建设整改、等级测评和自查等工作，采取 管理和技术措施，保障网络基础设施安全、网络运行安全、数 据安全和信息安全，有效应对网络安全事件，防范网络违法犯 罪活动。 第七条【行业要求】行业主管部门应当组织、指导本行业、 本领域落实网络安全等级保护制度。 -3- 第二章 支持与保障 第八条【总体保障】国家建立健全网络安全等级保护制度 的组织领导体系、技术支持体系和保障体系。 各级人民政府和行业主管部门应当将网络安全等级保护制 度实施纳入信息化工作总体规划，统筹推进。 第九条【标准制定】国家建立完善网络安全等级保护标准 体系。国务院标准化行政主管部门和国务院公安部门、国家保 密行政管理部门、国家密码管理部门根据各自职责，组织制定 网络安全等级保护的国家标准、行业标准。 国家支持企业、研究机构、高等学校、网络相关行业组织 参与网络安全等级保护国家标准、行业标准的制定。 第十条【投入和保障】各级人民政府鼓励扶持网络安全等 级保护重点工程和项目，支持网络安全等级保护技术的研究开 发和应用，推广安全可信的网络产品和服务。 第十一条【技术支持】国家建设网络安全等级保护专家队 伍和等级测评、安全建设、应急处置等技术支持体系，为网络 安全等级保护制度提供支撑。 第十二条【绩效考核】行业主管部门、各级人民政府应当 将网络安全等级保护工作纳入绩效考核评价、社会治安综合治 理考核等。 第十三条【宣传教育培训】各级人民政府及其有关部门应 当加强网络安全等级保护制度的宣传教育，提升社会公众的网 -4- 络安全防范意识。 国家鼓励和支持企事业单位、高等院校、研究机构等开展 网络安全等级保护制度的教育与培训，加强网络安全等级保护 管理和技术人才培养。 第十四条【鼓励创新】国家鼓励利用新技术、新应用开展 网络安全等级保护管理和技术防护，采取主动防御、可信计算、 人工智能等技术，创新网络安全技术保护措施，提升网络安全 防范能力和水平。 国家对网络新技术、新应用的推广，组织开展网络安全风 险评估，防范网络新技术、新应用的安全风险。 第三章 网络的安全保护 第十五条【网络等级】根据网络在国家安全、经济建设、 社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者 数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、 公共利益以及相关公民、法人和其他组织的合法权益的危害程 度等因素，网络分为五个安全保护等级。 （一）第一级，一旦受到破坏会对相关公民、法人和其他 组织的合法权益造成损害，但不危害国家安全、社会秩序和公 共利益的一般网络。 （二）第二级，一旦受到破坏会对相关公民、法人和其他 组织的合法权益造成严重损害，或者对社会秩序和公共利益造 -5- 成危害，但不危害国家安全的一般网络。 （三）第三级，一旦受到破坏会对相关公民、法人和其他 组织的合法权益造成特别严重损害，或者会对社会秩序和社会 公共利益造成严重危害，或者对国家安全造成危害的重要网络。 （四）第四级，一旦受到破坏会对社会秩序和公共利益造 成特别严重危害，或者对国家安全造成严重危害的特别重要网 络。 （五）第五级，一旦受到破坏后会对国家安全造成特别严 重危害的极其重要网络。 第十六条【网络定级】网络运营者应当在规划设计阶段确 定网络的安全保护等级。 当网络功能、服务范围、服务对象和处理的数据等发生重 大变化时，网络运营者应当依法变更网络的安全保护等级。 第十七条【定级评审】对拟定为第二级以上的网络，其运 营者应当组织专家评审；有行业主管部门的，应当在评审后报 请主管部门核准。 跨省或者全国统一联网运行的网络由行业主管部门统一拟 定安全保护等级，统一组织定级评审。 行业主管部门可以依据国家标准规范，结合本行业网络特 点制定行业网络安全等级保护定级指导意见。 第十八条【定级备案】第二级以上网络运营者应当在网络 的安全保护等级确定后 10 个工作日内，到县级以上公安机关备 -6- 案。 因网络撤销或变更调整安全保护等级的，应当在 10 个工作 日内向原受理备案公安机关办理备案撤销或变更手续。 备案的具体办法由国务院公安部门组织制定。 第十九条【备案审核】公安机关应当对网络运营者提交的 备案材料进行审核。对定级准确、备案材料符合要求的，应在 10 个工作日内出具网络安全等级保护备案证明。 第二十条【一般安全保护义务】网络运营者应当依法履行 下列安全保护义务，保障网络和信息安全： （一）确定网络安全等级保护工作责任人，建立网络安全 等级保护工作责任制，落实责任追究制度； （二）建立安全管理和技术保护制度，建立人员管理、教 育培训、系统安全建设、系统安全运维等制度； （三）落实机房安全管理、设备和介质安全管理、网络安 全管理等制度，制定操作规范和工作流程； （四）落实身份识别、防范恶意代码感染传播、防范网络 入侵攻击的管理和技术措施； （五）落实监测、记录网络运行状态、网络安全事件、违 法犯罪活动的管理和技术措施，并按照规定留存六个月以上可 追溯网络违法犯罪的相关网络日志； （六）落实数据分类、重要数据备份和加密等措施； （七）依法收集、使用、处理个人信息，并落实个人信息 保护措施，防止个人信息泄露、损毁、篡改、窃取、丢失和滥 -7- 用； （八）落实违法信息发现、阻断、消除等措施，落实防范 违法信息大量传播、违法犯罪证据灭失等措施； （九）落实联网备案和用户真实身份查验等责任； （十）对网络中发生的案事件，应当在二十四小时内向属 地公安机关报告；泄露国家秘密的，应当同时向属地保密行政 管理部门报告。 （十一）法律、行政法规规定的其他网络安全保护义务。 第二十一条【特殊安全保护义务】第三级以上网络的运营 者除履行本条例第二十条规定的网络安全保护义务外，还应当 履行下列安全保护义务： （一）确定网络安全管理机构，明确网络安全等级保护的 工作职责，对网络变更、网络接入、运维和技术保障单位变更 等事项建立逐级审批制度； （二）制定并落实网络安全总体规划和整体安全防护策略， 制定安全建设方案，并经专业技术人员评审通过； （三）对网络安全管理负责人和关键岗位的人员进行安全 背景审查，落实持证上岗制度； （四）对为其提供网络设计、建设、运维和技术服务的机 构和人员进行安全管理； （五）落实网络安全态势感知监测预警措施，建设网络安 全防护管理平台，对网络运行状态、网络流量、用户行为、网 -8- 络安全案事件等进行动态监测分析，并与同级公安机关对接； （六）落实重要网络设备、通信链路、系统的冗余、备份 和恢复措施； （七）建立网络安全等级测评制度，定期开展等级测评， 并将测评情况及安全整改措施、整改结果向公安机关和有关部 门报告； （八）法律和行政法规规定的其他网络安全保护义务。 第二十二条【上线检测】新建的第二级网络上线运行前应 当按照网络安全等级保护有关标准规范，对网络的安全性进行 测试。 新建的第三级以上网络上线运行前应当委托网络安全等级 测评机构按照网络安全等级保护有关标准规范进行等级测评， 通过等级测评后方可投入运行。 第二十三条【等级测评】第三级以上网络的运营者应当每 年开展一次网络安全等级测评，发现并整改安全风险隐患，并 每年将开展网络安全等级测评的工作情况及测评结果向备案的 公安机关报告。 第二十四条【安全整改】网络运营者应当对等级测评中发 现的安全风险隐患，制定整改方案，落实整改措施，消除风险 隐患。 第二十五条【自查工作】网络运营者应当每年对本单位落 实网络安全等级保护制度情况和网络安全状况至少开展一次自 -9- 查，发现安全风险隐患及时整改，并向备案的公安机关报告。 第二十六条【测评活动安全管理】