12月7日，第八届“一带一路”园区建设国际合作峰会首次网络安全国际合作专题论坛在北京举行。论坛以“网络安全国际合作”为主题，探讨网络安全的基本制度建设、国际标准化发展、AI与网络安全融合、中国企业海外网络安全对策等议题，分享最新研究成果，进一步加强国际合作，共同应对信息化和数字化转型中的网络安全挑战，推动构建网络空间命运共同体。

公安部十一局原副局长、一级巡视员、总工程师郭启全

公安部十一局原副局长、一级巡视员、总工程师郭启全以《中国网络安全基本制度的建立与实施》为题，分享了中国网络等级保护制度的确立、内在关系、实施经验等方面的内容，为参会者呈现了中国网络安全政策和制度的全貌。

中国网络安全基本制度的建立与实施

尊敬的各位来宾，新老朋友们，很高兴和大家一起研究网络安全。我们有责任、有担当、有义务，在网络安全领域加强国际合作交流，特别是在与“一带一路”国家交往中，如何按照习近平主席的指示要求构建网络空间命运共同体。

建立网络空间命运共同体，安全是最重要的，安全是保障、是基础。前面几位专家讲的都很好，非常赞成，我也认真聆听了，给了我很多启示和启发。我今天介绍一下中国的网络安全等级保护制度。十几年前，一些国家非常关注中国的网络安全等级保护制度，我们多次面对面地进行过交流。今天这样一个公开场合，我愿意把中国的网络安全等级保护制度简要介绍给在座的来宾朋友们，希望“一带一路”国家关注中国的网络安全等级保护制度，共享中国的网络安全等级保护经验。

网络安全等级保护制度，是中国网络安全领域的基本制度。

一、中国网络安全等级保护制度的确立

（一）1994年，中国出台《计算机信息系统安全保护条例》（国务院令第147号），其中第九条规定：“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

（二）2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》指出，“实行信息安全等级保护。抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

（三）2017年，中国出台《网络安全法》，其中第二十一条规定：国家实行网络安全等级保护制度。标志着中国网络安全等级保护制度进入新时代。

信息安全等级保护制度变成了网络安全等级保护制度，名称变了，内涵、外延也发生了根本变化。标志着中国的网络安全等级保护制度进入新时代。信息安全保护制度是1.0时代，《网络安全法》确立的网络安全等级保护制度作为基本制度进入2.0时代。

二、中国网络安全制度的内在关系

（一）中国《网络安全法》第三十一条和《关键信息基础设施安全保护条例》第六条规定：关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

（二）中国《数据安全法》第二十七条规定：利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。

中国网络安全制度主要包括网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全保护制度，前者是基础，后两者是重点（即一个基础两个重点），这体现了网络安全等级保护制度的基础性地位。个人信息在保护方面纳入数据安全保护中。图1体现了三个制度的内在关系。

图1 三个制度的内在关系

三、中国网络安全等级保护制度的主要内容

（一）中国实行网络安全等级保护制度的主要内容

 中国网络安全等级保护制度实施有20多年的历史了，它的主要内容是：1、对网络（包括信息系统和数据等）实施分等级保护。2、对网络和网络运营者分等级进行监督管理。3、对网络中使用的网络安全产品实行按等级管理。4、对网络中发生的安全事件分等级进行响应和处置。

（二）网络安全等级保护制度包括五个环节，分别是网络定级、备案、等级测评、建设整改和监督检查。

图2是网络安全等级保护制度与国家网络安全总体策略的关系。中国网络安全等级制度，保护对象包括网络、信息系统、云平台、大数据、工控系统、物联网、移动互联、新技术新应用等等，支撑网络安全保卫、保护、保障。网络安全等级保护制度2.0强调“一个中心、三重防护”，即安全管理中心、安全计算环境、安全区域边界、安全通信网络。

图2 网络安全等级保护制度与国家网络安全总体策略的关系

四、中国网络安全等级保护制度的五个环节

（一）网络定级

1、网络安全等级保护制度将网络（包括网络设施、信息系统、数据资源等），按照重要性和遭受损坏后的危害性，分成五个安全保护等级，从第一级到第五级，逐级增高。

网络的安全保护等级的划分：从国家安全、社会秩序、公共利益、公民法人合法权益四个维护，判别网络的重要程度，以及遭到破坏后对其危害程度，将网络分为五个安全保护等级：

第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。

第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。

第三级，一旦受到破坏会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

第五级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

2、网络运营者根据《网络安全等级保护定级指南》（GB/T 22240—2020）拟定网络的安全保护等级，对拟定的安全保护等级进行专家评审，出具专家评审意见。

（二）网络备案

1、网络的安全保护等级确定后，第二级（含）以上网络的运营者将网络定级材料向公安机关备案。

2、公安机关对网络备案材料和网络的定级准确性进行审核，审核合格后颁发备案证明。

3、行业主管部门有备案要求的，网络运营者还应当向行业主管部门备案。

（三）等级测评

1、网络运营者选择符合国家规定条件的等级测评机构，依据国家网络安全等级保护制度规定，对第三级（含）以上网络每年开展一次网络安全等级测评，并及时将等级测评报告提交受理备案的公安机关和行业主管部门。

2、等级测评机构依据《网络安全等级保护测评要求》等有关标准规范，对网络开展检测评估，查找可能存在的网络安全问题和隐患，分析威胁风险，提出安全建设整改意见。

（四）安全建设整改

1、网络运营者根据网络的安全保护等级，按照国家有关法律、政策以及《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准，开展安全建设整改。

2、网络运营者按照国家标准中“一个中心（安全管理中心）、三重防护（安全通信网络、安全区域边界、安全计算环境）”的要求，认真开展网络安全建设和整改加固，建设安全设施，落实安全措施和安全责任，建立和落实安全管理制度。

（五）监督检查

1、公安机关依据《中华人民共和国人民警察法》《网络安全法》等法律法规，对第二级网络运营者的网络安全工作进行指导，对第三、第四级网络运营者的网络安全工作定期开展监督检查。

2、监督检查网络运营者开展网络安全保护各项工作情况和网络安全状况，发现问题和隐患等，提出整改意见，并督办整改。

五、中国网络安全等级保护制度的实施

依据中国《网络安全法》和有关政策、国家标准，各地区、各部门依法开展网络安全等级保护工作，建立良好的网络安全保护生态，全面提升网络安全基础支撑能力。主要实施措施是：

建立完善网络安全领导体系和工作体系。制定网络安全规划和行业标准规范。将网络安全等级保护制度与其他制度有机结合。建立网络安全责任制和问责制度。深化开展网络安全等级保护定级备案工作。制定网络安全等级保护建设方案并实施。认真组织开展网络安全等级测评工作。制定网络安全整改方案并实施。强化物理环境基础设施安全保障。加强通信网络安全保护。加强区域边界安全保护。加强计算环境安全保护。构建网络安全管理中心。健全完善网络安全管理体系。加强数据全生命周期安全保护。强化供应链安全管理。采取多种方式检验安全保护措施的有效性。加强云平台的安全保护。加强移动互联网络系统安全保护。加强物联网安全保护。加强工业控制系统安全保护。加强大数据及平台安全保护。加强自主可控和创新工程安全管理。加强采用5G网络技术的网络系统安全保护。加强区块链技术架构安全保护。加强IPv6技术网络系统安全保护。建设网络安全综合业务平台。落实网络安全实时监测措施。健全完善网络与信息安全信息通报机制。建立重大事件和威胁报告制度，落实事件处置措施。落实技术应对措施，提升技术对抗能力。实施“挂图作战”，提升综合防御能力。加强网络安全经费和设备设施改造升级经费保障。加强网络安全教育训练和人才培养。

六、“一带一路”国家共享中国网络安全等级保护经验

1、中国的网络安全等级保护制度已经实施20多年，是中国网络安全领域的伟大创举，是中国网络安全界的智慧结晶，是中国网络安全的基础防线和基石，是保障中国经济健康发展，维护国家安全、社会秩序和公共利益的根本保障。

2、中国与“一带一路”沿线国家可以共享中国网络安全等级保护经验，在网络安全等级保护政策、标准、措施等方面进行交流、合作，支持“一带一路”沿线国家建立网络安全良好生态，为有关部门、网络安全企业、科研机构、高等院校等提供交流合作平台，共同构建网络空间命运共同体，共同繁荣进步。

“一带一路”国家共享中国网络安全等级保护经验。一个制度的建立、一项工作的实施，中国的等级保护制度实施了20多年，我建议“一带一路”友好国家好好研究中国的网络安全等级保护制度是什么、怎么干、怎么落地，政策、法律标准是什么，队伍怎么建、措施是什么。这样 “一带一路”友好国家才能提升网络空间的安全保护能力，造福于人类、造福于社会，保护好全人类共同的利益。中国与“一带一路”国家共享经验，交流政策、标准、措施，支持“一带一路”国家建好本国的网络安全生态，为有关部门提供平台、共建网络空间命运共同体，共同繁荣进步。

我就讲这些，不足之处请专家、领导提出批评指正。谢谢！