公安部网安局2025年版等级保护定级备案新规：全面解读与执行指南

2025年3月8日，公安部网安局发布了《关于进一步做好网络安全等级保护有关工作的函》（公网安〔2025〕1001号），对网络安全等级保护工作提出了新的要求。

在备案方面，文件要求各行业严格按流程开展备案更新工作。具体来说，第二级（含）以上信息系统的运营者需要编写《网络安全等级保护定级报告》，并填报《网络安全等级保护备案表》，然后到属地公安机关更新等级保护备案。对于安全保护等级初步确定为第四级（含）以上的信息系统，运营者还需组织国家网络安全等级保护专家对定级结果进行评审。

这意味着，网络运营者需要结合《定级指南》与2025年新版《网络安全等级保护定级报告》模板，对系统开展等级保护定级或重新定级，并按要求到公安机关办理备案更新。

2025年4月27日，公安部再次发布公网安〔2025〕1846号文件，对3月8日部署的网络安全等级保护工作进行了进一步说明。文件要求各级单位深化系统备案更新、数据资源摸底及风险整改，并对部分关键问题进行了指导释疑。

1、如何执行系统备案动态更新工作？

全面梳理与重新填报：

运营者需全面梳理已备案系统的情况。对于已完成定级备案的第二级（含）以上网络系统，无论系统级别是否发生变更，运营者均需重新依据2025版定级报告和备案表模板进行编写和填报，并及时按照属地公安机关网安部门的要求报送。

这一点实际上要求进行一次全面的重新备案。无论网络运营者之前是否做过备案，现在都需要重新开展。此次更新备案的同时，新规划的网络系统自然也需要开展备案，所以本质上是一次全面的梳理与备案。

回顾以往的等级保护工作要求，公安机关在监管时本就强调备案义务，但对备案数量并无明确说法。此次则要求进行全面梳理，在梳理过程中也需要关注第一级网络系统，做到全量掌握。至于备案，除了第一级系统，所有第二级及以上的网络系统都需备案。这一原则其实自2007年以来一直存在。例如，一个单位有十个网络系统，原来只备案了四个，这在落实等级保护合规要求方面实际上存在风险。

2、系统备案动态更新是否需要组织召开专家评审，组织召开专家评审会的基本原则是什么？

系统备案动态更新的专家评审及组织原则：

已完成定级备案的网络系统，如果发生级别变更或重大变化，需要重新组织召开专家评审会。同时，鼓励行业主管部门集中组织召开本行业内网络系统的专家评审会。

依据《定级指南》的指导，需要从业务信息和系统服务两个维度的变化来确定安全等级的变化。一旦这两个维度发生重大变化，就可以考虑启动专家评审。如果行业已集中开展过定级评审，且行业定级文件非常明确，那么运营者自身的定级工作就会相对轻松一些。

当业务信息或系统服务侵害的客体与之前相比发生显著差异时，级别可能需要调整。例如，涉及国家安全的系统，原来级别可能是“三、四、五”档，在新框架下对应“四、五、五”档。那么原先的第三级可能需上调至第四级，第四级可能需上调至第五级。一旦涉及第三级、第四级的定级或级别上调，就必须经国家网络安全等级保护专家对定级结果进行评审。

3、系统备案单位如何选择备案地？

备案受理主体原则及特殊情况：

原则上，备案应由地市级以上公安机关网安部门受理。省级公安机关可以根据实际情况，指定具备受理备案条件的县级公安机关受理备案。

备案地确定规则：

当备案单位的工商注册登记地、实际业务运营机构所在地、安全管理机构所在地、网络设备所在地不一致时，应以备案单位安全管理机构、运维所在地为主受理备案。如果安全管理机构和运维所在地也不一致，则以安全管理机构所在地为主受理备案。

这一释疑为云服务、数据中心等特殊网络类型的备案地选择提供了明确的指导。

4、跨省或全国联网运行的网络系统如何选择备案地？

属地管辖备案原则：

对于跨省、省内跨地（市），或全国联网运行的网络系统，应按照属地管辖原则，由省级公安机关网安部门受理备案，或由其指定的地市级公安机关网安部门受理备案。

统一定级分支系统的备案受理安排：

对于跨省或全国统一联网运行并由主管部门统一定级的网络系统，其在各地运行、应用的分支系统（包括由上级主管部门定级，在当地有应用的网络），应由所在地的地市级以上公安机关网安部门受理备案。

5、已定级备案的跨省或全国联网运行的网络系统如何选择备案更新地？

原备案至公安部的网络系统，现已转交至北京市公安局网安总队进行受理。因此，此次备案动态更新的地点需咨询北京市公安局网络安全保卫总队。

这条仅对原来备案到公安部的网络系统进行了特殊安排，其他情况按上述常规规则执行。

6、备案证明如何更新及有效期如何确认？

有效期的管理规定：

《网络安全等级保护备案证明》有效期为三年。在2025年1月1日前完成备案的，其有效期自2025年1月1日起算。完成等级测评后，备案证明的有效期可自动延长一年。

统一规定三年的有效期，解决了此前各地理解不一、自行设置有效期的问题，是一个积极的举措。同时，完成等级测评可自动延期一年的设计，也建立了正向激励。

根据现行要求，第三级系统每年至少开展一次等级测评；第二级系统若想延长备案证明有效期，也可以考虑开展测评。

延期申请的要求：

备案证明期满需要延期的，应当于期满前三个月内向受理备案的公安机关提出延期申请。

对于企业和机构的安全与运维团队而言，及时理解并落实这些新规是确保合规、规避风险的关键一步。更多关于安全合规与实践的深度讨论，欢迎访问 云栈社区 的对应板块进行交流。