為深入推進實施網絡安全等級保護制度，保障國家網絡空間安全和關鍵信息基礎設施安全，按照中央指示精神，公安部會同中共中央網絡安全和信息化委員會辦公室（以下簡稱中央網信辦）、國家保密局、國家密碼管理局，在總結十幾年全國范圍開展網絡安全等級保護工作經驗的基礎上，聯合起草了《網絡安全等級保護條例（征求意見稿）》（以下簡稱《條例》）。

一、制定《條例》的必要性

（一）是貫徹落實《網絡安全法》，健全完善我國網絡安全保障工作法律規范體系的需要

近年來，世界主要國家將網絡安全作為謀求戰略優勢的新抓手，對內不斷加強頂層設計和能力建設，對外搶抓網絡空間控制權、規則制定權和話語權，世界大國網絡空間博弈加劇，網絡問題已成為大國互動的新焦點、大國戰略關系走向的重大課題。我國網絡安全形勢更是嚴峻復雜，面臨前所未有的威脅、風險和挑戰，并存在許多突出的問題和困難。在這種形勢下，亟需健全完善我國的網絡安全法律體系，為我國網絡安全等級保護制度的實施提供法律保障。《網絡安全法》明確規定國家實行網絡安全等級保護制度，標志著網絡安全等級保護制度從1994年國務院條例（第147號令）上升為國家法律要求，標志著我國實施十年之久的信息安全等級保護制度進入新時代、新階段，標志著以保護國家關鍵信息基礎設施和大數據安全為重點的網絡安全等級保護制度將進一步健全完善并依法全面推進實施。以“建設網絡強國”為戰略目標，以發展需求為牽引，以安全問題為導向，及時制定出臺《條例》十分必要、緊迫，這是構建全新網絡安全等級保護制度體系、保障關鍵信息基礎設施和大數據安全、依法維護我國網絡空間安全的重要舉措。

（二）是落實網絡安全等級保護制度要求，構建國家網絡安全基本制度、基本國策的需要

近年來，有關法規和系列政策文件明確要求，落實網絡安全等級保護制度要求，重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，不斷健全完善網絡安全等級保護制度體系。網絡安全等級保護是當今發達國家保護關鍵信息基礎設施、保障信息安全的通行做法，也是我國多年來網絡安全工作實踐和經驗的總結。開展網絡安全等級保護工作的主要目的就是要保護國家關鍵信息基礎設施安全、維護國家安全，這是一項事關國家安全、社會穩定、國家利益的重要決策部署。十多年來，在黨中央的堅強領導下，在有關部門、專家、企業的大力支持下，公安部根據法律授權，會同中央網信辦、國家保密局和國家密碼管理局，在全國范圍內組織開展基礎調查、等級保護試點、信息系統定級備案、安全建設整改、等級測評、網絡安全大檢查等工作，創造性地構建并實施了網絡安全等級保護制度，確立了具有中國特色的國家網絡安全基本制度和基本國策，全面促進了國家網絡安全工作體系化，有力促進了我國網絡安全工作法制化、規范化和標準化，全力提升了國家關鍵信息基礎設施安全保護能力。同時，公安部會同國家保密局、國家密碼管理局、國資委、國家發改委、財政部、教育部等部門出臺了一系列政策文件，逐步構建網絡安全等級保護工作的政策體系，組織制定了網絡安全等級保護工作需要的一系列標準，形成了網絡安全等級保護標準體系，為指導各地區、各部門開展等級保護工作提供了政策保障和標準保障。網絡安全等級保護制度業已成為國家網絡安全的基本制度、基本策略和基本方法，是促進信息化健康發展，維護國家安全、社會秩序和公共利益的根本保障。因此，有必要將這一基礎性制度通過行政法規的形式固定下來，把多年來網絡安全工作中行之有效的方法和措施固化下來，確保《網絡安全法》規定的網絡安全基本制度得以有效實施。

（三）是應對日益嚴峻的網絡安全形勢，解決網絡安全突出問題的現實需要

近年來網絡安全形勢越來越嚴峻，網絡安全事件（案件）頻發，面臨境內外的網絡攻擊威脅也越來越大。從公安機關開展網絡安全事件處置，以及打擊黑客攻擊類網絡違法犯罪案件的情況看，有超過80%的網絡安全事件（案件）都是因為網絡運營者自身安全保護重視不夠，基本安全保護措施不落實等原因造成。目前，網絡安全等級保護制度實施的主要依據是2007年公安部、國家保密局、國家密碼管理局、原國務院信息辦聯合出臺的《信息安全等級保護管理辦法》（公通字〔2007〕43號），屬于規范性文件，不具備法律效力，適用范圍僅限政府部門內部，約束性差，導致公安機關、保密部門、密碼管理部門的監督管理力度不大，對不落實等級保護制度要求的單位無法進行行政處罰。因此，需要以《網絡安全法》和《網絡安全等級保護條例》共同支撐國家網絡安全等級保護制度的全面有效地貫徹落實。

二、《條例》內容解讀

針對網絡安全等級保護制度等立法層級不高、執行強制性差，公安機關等網絡安全職能部門行政執法支撐不足等問題，中央領導同志就網絡安全等級保護立法工作多次作出批示，要求加強等級保護立法工作，健全完善以保護國家關鍵信息基礎設施安全為重點的網絡安全等級保護制度。根據政策文件和中央領導指示精神，為落實《網絡安全法》的規定，公安部牽頭《條例》起草工作，并成立了起草工作專班。《條例》起草工作專班經過深入調研、廣泛座談、多輪研討、全面征求意見建議、反復修改完善，形成了《條例》（征求意見稿）。《條例》共八章七十三條。按照工作慣例和工作職責，其中第三章“涉密網絡的安全保護”由國家保密局負責起草，第四章“密碼管理”由國家密碼管理局負責起草。《條例》主要內容如下：

（一）關于總則

總結十多年的實踐，總則中對立法依據、適用范圍、原則和保護重點、職責分工等做了明確規定。國家實行網絡安全等級保護制度，對網絡實施分等級保護、分等級監管，《條例》適用于中華人民共和國境內建設、運營、維護、使用網絡開展網絡安全等級保護工作以及監督管理，個人及家庭自用的網絡除外。《條例》中延用《網絡安全法》中網絡的概念：網絡是指由計算機或者其他信息終端及相關設備組成的按照一定規則和程序對數據信息進行收集、存儲、傳輸、交換、處理的信息網絡、信息系統和數據資源。網絡安全等級保護制度在十多年成功實踐的基礎上，結合當前信息技術的發展和形勢需要，不斷與時俱進、健全完善。一是將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核等重點措施納入等級保護制度并實施。二是將網絡基礎設施、重要信息系統、網站、大數據中心、云計算平臺、物聯網、工控系統、公眾服務平臺、互聯網企業等全部納入等級保護監管。網絡安全等級保護工作重點保護的是涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全。同時，總則中強調了網絡安全的三同步原則，即網絡運營者在網絡建設過程中，應當同步規劃、同步建設、同步運行網絡安全保護、保密和密碼保護措施。此外，總則中還規定了中央網信辦、公安部門、保密行政管理部門、國家密碼管理部門以及國務院其他有關部門、行業主管部門在網絡安全等級保護工作中的職責。

（二）關于支持與保障

《條例》第二章中明確了國家和政府落實網絡安全等級保護制度的職責任務，重點體現在組織領導、技術支持、保障考核、宣傳培訓和鼓勵創新等方面，從國家層面保障支持等級保護制度的實施和落地，形成自上而下的等級保護工作推進體系。第八條規定國家建立健全網絡安全等級保護制度的組織領導體系、技術支持體系和保障體系。各級人民政府和行業主管部門應當將網絡安全等級保護制度實施納入信息化工作總體規劃，統籌推進。第九條規定國家建立完善等級保護標準體系。標準化部門和公安、保密、密碼部門根據各自職責，組織制定等級保護國家標準、行業標準。在投入和保障方面，各級人民政府鼓勵扶持網絡安全等級保護重點工程和項目，支持網絡安全等級保護技術的研究開發和應用。在技術支持方面，國家建設網絡安全等級保護專家隊伍和等級測評、安全建設、應急處置等技術支持體系，為網絡安全等級保護制度提供支撐。

（三）關于網絡的安全保護

《條例》第三章中規定了網絡安全等級保護制度體系的基本框架、具體內容、要求和相關主體的責任義務。

一是明確了網絡運營者依法落實網絡安全等級保護制度。按照《條例》規定開展網絡定級、備案、測評、整改、自查工作，公安機關對網絡分級監督管理的職責及其在備案審核、服務機構管理、事件調查、執法檢查中的職責。《條例》中的內容與《關鍵信息基礎設施保護條例（征求意見稿）》有關內容進行了協調銜接。

二是規定了網絡的定級和備案要求。根據網絡在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網絡分為五個安全保護等級（如表）。

網絡運營者或主管部門應參考GA/T?1389-2017《信息安全技術?網絡安全等級保護定級指南》的要求，梳理出定級對象并合理確定其所屬網絡的安全保護等級、確定其安全責任單位和具體責任人。定級時應當注意以下幾個方面：一是網絡運營者應當在規劃設計階段確定網絡的安全保護等級；當網絡功能、服務范圍、服務對象和處理的數據等發生重大變化時，網絡運營者應當依法變更網絡的安全保護等級；網絡定級應按照網絡運營者擬定網絡等級、專家評審、主管部門核準、公安機關審核的流程進行。對于基礎網絡、云計算平臺和大數據平臺等起支撐作用的網絡系統，應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。原則上大數據的安全等級不低于第三級。

三是《條例》在《網絡安全法》規定的網絡運營者安全保護義務的基礎上，對不同安全保護等級網絡的運營者的安全保護義務做了明確、細化的要求。第二十條規定了網絡運營者應當依法履行的11項一般性安全保護義務，包括落實責任制，建立并落實安全管理和技術保護制度，制定并落實機房安全管理、設備和介質安全管理等操作規范和工作流程，落實身份識別、防范惡意代碼感染傳播和網絡入侵攻擊的管理和技術措施，落實監測、記錄網絡運行狀態、網絡安全事件、違法犯罪活動的管理和技術措施，相關網絡日志留存以及落實數據分類、重要數據備份和加密、個人信息保護措施，對網絡中發生的案事件應當向屬地公安機關報告等網絡安全保護義務。第三級以上網絡的運營者，除履行上述網絡安全保護義務之外，根據第二十二條規定，還應當履行的其他8項安全保護義務包括：強化網絡安全管理機構的職責，重大事項逐級審批，網絡安全管理負責人和關鍵崗位的人員安全背景審查，采取網絡安全態勢感知監測預警措施進行動態監測分析以及落實備份和恢復措施、定期開展等級測評等網絡安全保護義務，突出強化了國家對關鍵信息基礎設施和其他重要網絡的重點保護和管理。

四是規定了第三級以上網絡運營者在開展技術維護、監測預警、信息通報、應急處置以及數據信息安全等工作時應當履行的責任義務。同時，《條例》中就測評服務、安全監測、運維、數據應用等其安全服務機構管理提出了明確的管理要求，提出了新技術新應用的風險管控規定。

（四）關于涉密網絡系統的安全保護

《條例》第四章中提出了涉密網絡安全保密總體要求，以及涉密網絡分級保護要求和涉密網絡使用管理要求，明確了涉密網絡全過程管理，規定了涉密網絡密級確定、方案論證、建設實施、測評審查、風險評估、重大變化以及廢止等環節的保密管理要求。

（五）關于密碼管理

《條例》第五章中明確提出了密碼配備使用、管理和應用安全性評估的有關要求，對網絡的密碼保護做出規定。其中，對涉密網絡，明確密碼檢測、裝備、采購、使用以及系統設計、運行維護、日常管理等要求；對非涉及國家秘密網絡、第三級以上網絡提出密碼保護要求，明確規定網絡運營者應在網絡規劃、建設和運行階段委托專業測評機構開展密碼應用安全性評估，并對評估結果備案提出了要求。

（六）關于保障和監督管理

為深入推進實施網絡安全等級保護制度，《條例》第六章規定了公安機關、行業主管（監管）部門等在網絡安全監督管理中的職責和監管要求，就重大隱患處置、安全服務機構監管、事件調查以及保密、密碼的監督管理等分別做了明確規定，提出了網絡運營者和技術支持單位應履行的執法協助義務。

三、處理好網絡安全等級保護制度與關鍵信息基礎設施保護的關系

自《網絡安全法》發布實施以來，國家網絡安全等級保護制度和關鍵信息基礎設施保護的關系問題備受關注。網絡安全等級保護制度是我國網絡安全保障領域普適性的制度，是關鍵信息基礎設施保護的基礎，而關鍵信息基礎設施是網絡安全等級保護制度保護的重中之重。網絡安全等級保護制度和關鍵信息基礎設施保護是網絡安全的兩個重要方面，不可分割。關鍵信息基礎設施運營單位須按照網絡安全等級保護制度要求，開展關鍵信息基礎設施定級備案、等級測評、安全建設整改、安全檢查等強制性、規定性工作。網絡運營者應當在安全保護等級為第三級（含）以上網絡中確定關鍵信息基礎設施，即認定為關鍵信息基礎設施的，其安全保護等級不低于第三級。網信、公安、保密、密碼等部門要落實關鍵信息基礎設施保護監管責任，關鍵信息基礎設施網絡運營單位和保護工作部門要落實主體責任。各相關單位、部門各司其職、各負其責，充分發揮職能作用，調動國家資源力量，保障關鍵信息基礎設施安全。

（本文刊登于《中國信息安全》雜志2018年第8期）