甬公北函〔2022〕2号

李伟斌代表：

您在区人大十二届一次会议上提交的《关于建立企业网络安全分级评定机制的建议》已收悉。我局高度重视，立即组织开展专题研商，指定由我局网安大队具体负责承办该人大建议相关工作，力争采取切实有效的工作措施，维护企业网络安全。现将办理结果答复如下：

一、现阶段相关情况

（一）信息安全等级保护法律和制度的发展变革。2007年我国信息安全等级保护制度正式实施，经过十余年的发展与实践，该制度已成为我国非涉密信息系统网络安全建设的重要标准。2007年、2008年《信息安全等级保护管理办法》和《信息安全等级保护基本要求》分别颁布实施，这些法规被称之为等保1.0制度标准。以《网络安全等级保护基本要求》、《网络安全等级保护设计技术要求》、《网络安全等级保护测评要求》为主的等保2.0相关国家标准已于2019年5月发布，并于2019年12月1日正式开始实施，这是我国实行网络安全等级保护制度发展过程中具有里程碑意义大事。

等保2.0相对1.0主要有以下几点变化：一是名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。二是定级对象变化。等保1.0的定级对象是信息系统，现在2.0更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。三是安全要求变化。基本要求的内容，由安全要求变革为安全通用要求与安全扩展要求（含云计算、移动互联、物联网、工业控制）。四是控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；在管理上，结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。五是内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作加新的安全要求（风险评估、安全监测、通报预警、态势感知等）。

等保2.0的实施，是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充，是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。等保2.0的实施对企业带来新标准，根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展系统业务前必须思考的问题。

（二）我区落实等保新标准的政策措施。2019年12月起，我局根据等保2.0相关标准要求落实对江北区内政府机关、企事业单位等进行网络安全督促、检查和整改工作。

2021年5月，我局组织开展了全区网络攻防演习，对于发现的漏洞隐患，严格按照网络安全综合防控闭环工作要求修复漏洞，及时消除辖区内网络安全隐患。

2021年6月28日公安江北分局、江北区经济和信息化局、江北区审计局和江北区大数据发展服务中心等四部门联合发文《宁波市公安局江北分局等四部门关于进一步落实全区网络安全等级保护三同步工作要求的通知》（甬公北通 〔2021〕49号）。进一步强调全区政府财政投资建设或资金支持的各类信息系统网络安全等级保护工作的重要性，确保网络安全“同步规划、同步建设、同步运行”的三同步原则落实到位，切实维护我区关键信息基础设施网络安全。

2021年12月1日在我局推动下，宁波市江北区人民政府办公室发文《关于调整江北区信息安全等级保护工作领导小组的通知》（北区政办笺〔2021〕21号），决定将区信息安全等级保护工作领导小组名称调整为区网络安全等级保护工作领导小组，进一步强化了网络安全等级保护的组织领导，加强各部门各行业的重视程度和主责意识。截至2022年3月，我区企业落实网络安全等级保护二级以上共23家单位34个系统。

二、下阶段工作措施

代表在建议中提到我区很多企业网络管理水平参差不齐，企业的敏感数据很容易因为网络攻击泄露、丢失，有些企业甚至连网络管理员都没有配，服务器直接暴露在广域网上，成为最先被攻击的目标等现实问题，同时还提出了五条富有建设性的建议。

对此，公安江北分局将持续依法落实网络安全监督管理职责，对网络运营者依照国家法律法规规定和相关标准规范要求，落实网络安全等级保护制度，开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作，全力维护企业网络安全。

（一）全面落实网络安全等级保护制度。继续按照等保2.0相关标准指导督促政府、企事业单位按信息系统重要程度由低到高分5个等级实施不同的保护策略，并按照定级、备案、建设和整改、等级测评、检查5个运行步骤对江北区互联网单位进行网络安全等级保护监督检查和指导互联网单位定级备案工作。同时在市局的统一部署和制度完善下，分时分类对我区的重要信息系统开展安全隐患发现和整改修复工作。

（二）强化单位自查和不定期检查。向政府、企事业单位部署网络安全自查工作，并督促各单位按照检查内容要求，开展自查工作，撰写自查报告。同时对本辖区内网络安全重点保卫单位，以及网络安全隐患漏洞突出的重点单位，不定期联合区网信办、大数据中心等部门开展网络安全监督联合检查工作，检查出问题立即通报相关单位，并对检查中发现落实网络安全措施较好的单位进行区内推广。

（三）持续开展企业网络安全知识培训。2020年12月至今，我局已组织大型网络安全知识培训活动4场，涉及政府单位、上市企业、医疗、学校等100多家单位。下步我局将继续加强我区网络安全态势相关研究，并对我区各行各业涉及的信息系统，开展针对性的网络安全知识普宣，强化我区政府、企事业单位对网络安全的认知，细化日常网络安全制度的落实，提高各单位网络安全事件防护意识。

（四）指导企业建立数据冗余备份制度。对我区中勒索病毒的企业重点指导企业建立数据冗余备份措施，从技术层面讲解怎么防御勒索病毒，中勒索病毒后怎么尽可能地减少企业损失。指导企业建立并落实重要数据和个人信息安全保护制度；采取保护措施，保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全；建立异地备份恢复等技术措施，保障重要数据的完整性、保密性和可用性。

李伟斌代表，衷心感谢您对我局工作的关心关注，感谢您在区人大十二届一次会议期间给我局工作提出的宝贵建议和意见，希望您今后继续关心、支持我局工作，给我局多提建议意见，我们将根据您的建议意见努力改进，共同为江北经济社会发展作出新的贡献。

（联系人：卓鹤鹏，联系电话：81986077）

宁波市公安局江北分局

2022年5月12日