2025年，公安部陆续印发了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)、《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846号）、《网络安全等级保护测评高风险判定实施指引(试行)》（公网安〔2025〕2391号），并明确测评机构使用《网络安全等级测评报告模版（2025版）》出具测评报告，为等保2.0注入了新内涵，带来了新变化：

01测评结论体系重构：三级判定取代百分制

➤取消分数制：放弃百分制和“优、良、中、差”四档评价，改用“符合、基本符合、不符合”三级判定体系。

➤引入重大风险隐患判断：首次引入重大风险隐患概念，并结合符合率最终评定测评结论。根据重大风险隐患判定原则（相关性原则、严重性原则、高发性原则）进行综合分析，判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发，还可能是多个高、中、低安全问题的叠加。例如，即使符合率超过 90%，若存在重大风险隐患仍判定为 "基本符合"。

➤结论判定机制

符合率重大风险隐患测评结论

>90%无符合

>90%有基本符合

60-90%-基本符合

<60%-不符合

02备案管理精细化：全面梳理与属地规则

➤全面重新备案：要求所有二级及以上系统，无论级别是否变更，均需在2025年11月30日前按照2025版模板重新填报备案材料。

➤备案证明有效期统一：备案证明有效期统一为三年，2025年前备案的系统从2025年1月1日起重新计算。二级系统需在备案证明到期前3个月主动申请延期，三级及以上系统完成测评后自动续期1年。

➤备案地规则明确：跨省、省内跨地（市），或全国联网运行的网络系统，按照属地管辖原则由省级公安机关网安部门受理备案或其指定地市级公安机关网安部门受理备案。

➤统一定级分支系统的备案受理安排：跨省或全国统一联网运行并由主管部门统一定级的网络系统在各地运行、应用的分支系统（包括由上级主管部门定级，在当地有应用的网络），由所在地地市级以上公安机关网安部门受理备案。

03数据安全强制要求：摸底调查与分类分级

➤数据摸底成为必备项：第二级（含）以上网络系统运营者必须同步报送《数据摸底调查表》至属地公安机关，要求依据《数据安全法》完成数据分类分级。

➤填报规范精细化：《数据摸底调查表》要求按最小数据类别（如“身份证号”“银行卡号”）非字段级别填写，每类数据单独填表。

➤定级与数据级别挂钩：重要数据系统至少定为第三级，核心数据系统至少定为第四级，数据分类分级成为定级前置条件。

04保护工作方案强制实施：三级系统的年度作业

➤内容要求：第三级（含）以上网络系统运营者需以定级责任单位为主体提交保护工作方案，保护工作方案以年度测评中发现的重大风险隐患为重点，同时统筹考量高中低风险问题，全面梳理分析安全保护需求。

➤内容涵盖：资产情况（互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等）、现有安全保护措施、问题成因、整改思路及后续工作计划等；

➤时间节点：2025年6月30日前向属地公安机关报送首批保护工作方案，后续每年12月31日前提交。

05第五级网络系统专项监管：国家战略级防护

➤定义升级：明确第五级系统为"对国家安全或国计民生造成特别严重损害"的网络，包括能源管理、金融核心交易等关键领域，首次明确将能源、金融等领域纳入关键基础设施的核心系统。

➤测评依据：第五级系统需在GB/T 22239《信息安全技术—网络安全等级保护基本要求》第四级要求基础上，参考《关键信息基础设施安全测评要求》（GA/T 2182-2024）执行测评，并与关键信息基础设施协同防护。

➤测评频率：与第三、四级网络系统保持一致，每年开展一次等级测评工作。

06风险评估依据更新：威胁模型全面升级

➤标准升级：等保2.0风险评估依据从GB/T 20984-2007更新为GB/T 20984-2022，新增云原生环境威胁指标完善工控系统评估模型，细化APT攻击检测标准，要求渗透测试报告必须标注APT攻击检测点，明确验证横向移动阻断、数据外传监控等关键防御能力。

总结来说，随着网络安全威胁的不断演变，等保制度也在持续升级和完善，网络安全等级保护制度在2025年的深化，标志着我国网络安全防护体系进入精准化管控新阶段。三重防护体系、数据安全强制要求与重大风险隐患管理，共同构成了新一代网络安全基础设施的支柱。对网络运营者而言，深入理解等级保护制度在新时期的内涵，不仅是合规要求，更是构建数字时代核心竞争力的关键。

#等保#