2019年12月1日网络安全等级保护2.0国家标准的正式实施，标志着我国网络安全等级保护制度进入了全新时代。进入2020年后，为进一步指导及推动标准落地，我国先后制定了《网络安全等级保护定级指南》（GB/T 22240-2020）（以下简称《定级指南》）及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安【2020】1960号）（以下简称《指导意见》），明确了贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导思想、基本原则、工作目标和具体措施，为后续的安全建设整改、等级测评等工作奠定了良好的基础。

　　9月2日，“网络安全等级保护和关键信息基础设施安全保护工作宣贯会”在京召开，会议由公安部网络安全保卫局指导，公安部第三研究所、公安部第一研究所主办。在本次大会上，公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全重点宣贯解读了《指导意见》，以下为宣贯内容摘要。

　　《指导意见》重点强调了以下两点：

　　一、深入贯彻实施国家网络安全等级保护制度

　　按照国家网络安全等级保护制度要求，各单位、各部门在公安机关指导监督下，认真组织、深入开展网络安全等级保护工作，建立良好的网络安全保护生态，切实履行主体责任，全面提升网络安全保护能力。

　　（1）深化网络定级备案工作。全面梳理本单位网络及业务系统，科学确定网络的安全保护等级，并依法向公安机关备案审核。

　　（2）定期开展网络安全等级测评。对已定级备案网络的安全性进行检测评估，查找潜在的网络安全问题及隐患；公安机关应加强对等级测评机构的监督管理。

　　（3）科学开展安全建设整改。按照“一个中心（安全管理中心）、三重防护（安全通信网络、安全区域边界、安全计算环境）”的要求，应用可信计算等新技术开展网络安全建设和整改加固。

　　（4）强化安全责任落实。按照“谁主管谁负责，谁运营谁负责”的原则，厘清网络安全等级保护边界，明确安全保护责任。

　　（5）加强供应链安全管理及网络关键人员的安全管理，对服务过程中可能存在的安全风险进行评估并采取相应措施。

　　（6）落实密码安全防护要求。第三级以上网络在规划、建设和运行阶段充分考虑符合要求的密码产品及服务，并在网络安全等级测评中同步开展商用密码应用安全性评估。

　　二、建立并实施关键信息基础设施安全保护制度

　　公安机关指导监督关键信息基础设施安全保护工作。各单位、各部门应加强关键信息基础设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设，建立并实施关键信息基础设施安全保护制度，在落实网络安全等级保护制度基础上，强化保护措施，切实维护关键信息基础设施安全。

　　（1）组织认定关键信息基础设施。重要行业和领域相关保护工作部门（以下简称保护工作部门）应制定关键信息基础设施认定规则，负责组织认定并及时将认定结果通知运营者，并报公安部备案。

　　（2）明确关键信息基础设施安全保护工作职能分工。公安部指导监督关键信息基础设施安全保护工作，保护工作部门负责本行业关保工作的组织领导，关基运营者负责设置专门安全管理机构，组织开展关保工作，主要负责人对本单位关保工作负总责。

　　（3）落实关键信息基础设施重点防护措施。关基运营者应依据关键信息基础设施安全保护标准，加强安全保护及保障并定期进行安全检测评估。

　　（4）加强重要数据和个人信息保护。运营者应建立并落实重要数据和个人信息保护制度，采取技术、管理手段相结合的方式切实保护重要数据全生命周期安全。

　　（5）强化核心岗位人员和产品服务的安全管理。应对负责人和关键岗位人员进行安全审查，加强管理。

　　网络安全保护工作需要各方协作配合，行业主管部门、网络运营者与公安机关要密切协同，大力开展安全监测、通报预警、应急处置、威胁情报等工作，落实常态化措施，提升应对、处置网络安全突发事件和重大风险防控能力。

　　过去十年，网络安全等级保护制度极大地推动了安全产业的发展，随着2019年网络安全等级保护2.0国家标准的正式实施，我国网络安全等级保护制度进入了全新时代。网络安全等级保护和关键信息基础设施安全保护制度，将进一步扩大国内网络安全市场，使生态更加繁荣，也需要监管部门、测评机构和安全厂商共建完善的网络安全市场环境，共同保护国家、企业、用户的网络安全。

　　（信息服务部  牟艳霞）