(网经社讯)《通信网络安全防护管理办法》(工信部第11号令)确定了定级备案制度、“三同步”制度、符合性评测制度、风险评估制度和监督检查制度等网络安全防护工作基本制度。

根据《关于2020年年报“网络信息安全表”中“网络安全工作落实情况”项的填报要求》，电信和互联网企业在提交年报时需要填写一下有关内容：

1.企业网络及业务系统网络安全定级备案。

2.网络安全“三同步”落实情况报告。

3.针对各企业网络和业务系统，分别完成网络安全风险评估报告。

4.利用移动应用开展公共服务的企业，完成由第三方专业机构提供的移动应用安全评估评测报告。

填写说明：

1.自2019年起，企业需在部“通信网络安全防护管理系统”中填报定级备案报告、三同步情况报告。

2.企业定级备案后的系统均需做符合性评测和风险评估，其中安全等级为二级的系统，每两年做一次符合性评测和风险评估，安全等级为三级的系统，每年做一次符合性评测和风险评估。

3.以上评测和评估均可自行开展评估或委托第三方。

那么什么是定级备案、符合性评测、风险评估报告？（“三同步”落实情况报告由于简化后只需要提交一份企业盖章材料，按照更新上报，不在详细说明）

一、定级备案

通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分和定级，并将划分和定级情况向电信管理机构备案。

定级备案工作位于安全防护工作的第一步，需按照网络和系统单元的总体设计和规划方案预估定级对象社会影响力、规模和服务范围以及重要性来进行定级和备案，如定级对象在后续的实施和运行阶段产生变化，应按照变动的实际情况进行重新定级。

根据网络/系统单元的社会影响力I、规模和服务范围R、所提供服务重要性V三个定级要素的赋值，采用以下公式来计算网络/系统单元的安全等级值:

k=Round1{Log2[α×2I+β×2R+γ×2V]}

其中，k代表安全等级值，I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值，Round1{}表示四舍五入处理，保留1位小数，Log2[]表示取以2为底的对数，α、β、γ分别表示网络/系统单元的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重，分别为1/3、1/3、1/3。

安全等级值k安全等级

1≤k<1.5第1级

1.5≤k<2.5第2级

2.5≤k≤4第3级

4<k<4.5第4级

4.5≤k≤5第5级

定级报告的标准还在修改中，以后还是调整难度，应该也会简化。

二、符合性评测

通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并进行符合性评测。

“网络单元”是指由系统和（或）网络构成的，符合业务清晰、边界清晰、责任清晰原则的相对独立的安全域。网络单元的常见类别有：互联网接入服务、互联网数据中心、信息服务业务系统（门户综合网站系统、网络交易系统、信息社区服务系统等）。其他还包括：固定通信网、移动通信网、增值业务网－消息网、增值业务网－智能网、接入网、传送网、IP承载网、信令网、同步网、支撑网、非核心生产单元、网上营业厅、域名服务系统、互联网云服务平台、互联网内容分发网络、移动互联网联网应用、移动定位系统、WAP网关系统、大数据平台、集中化安全管理系统、IPTV平台、RCS融合通信平台、融合网络等。

符合性评测表一般包含业务安全、网络安全、主机安全、中间件安全、安全域边界安全、灾难备份及恢复、安全管理制度、第三方服务安全、用户个人信息安全等方面。不一样单元类型表格内容有差异，企业需根据自身情况选择对应的网络安全防护符合性评测表，并根据评测表各检查点内容及要求，按照定级对象实际情况选择相应的检查结果选项（是、否、不适用），需对相关情况补充说明的可以填写补充说明信息。

过去符合性评测是风险评估报告的一部分，现在最新要求已经需要单独成报告。

三、风险评估报告

通信网络运行单位应当组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患。

风险评估报告需要包含：系统概况、评测方法和工具、测评内容、风险评估结果等。符合性评测不再作为风险评估报告的一部分。

公安机关的等级保护测评报告不得代替作为以上各评测报告。

年报信用管理制度

每年5月，对拒不履行年报义务的企业，电信管理机构应将其列入电信业务经营不良名单。在相关企业补充履行年报义务后，电信管理机构可将其从不良名单中移出。

进入不良名单条件:

(一)未按规定报告年报信息，且在电信管理机构限期内仍未履行年报义务的;

(二)在电信业务经营许可证载明信息发生变化时，未按规定及时办理变更手续，受到行政处罚的;

(三)在电信管理机构监督检查中，被发现其年报信息、日常经营活动、落实网络与信息安全管理责任、停止经营时的善后工作、执行国家和电信管理机构有关规定等事项存在违法违规行为，受到行政处罚的(需直接列入电信业务经营失信名单的除外);

进入失信名单条件:

(一)受到吊销经营许可证处罚的;

(二)擅自经营电信业务或者超范围经营电信业务，情节严重、受到责令停业整顿处罚的;

(三)列入不良名单后，三年内再次受到责令停业整顿处罚的;

(四)以欺骗、贿赂等不正当手段取得电信业务经营许可证，被撤销该行政许可的;(五)属于第二条第一款第一项情形，届满三年仍未补充履行相关义务的;

(六)无正当理由、逾期不履行行政处罚决定的;

(七)按照国家有关规定、属于严重失信需要依法联合惩戒的。

作者介绍：

陈思

北京大成（杭州）律师事务所合伙人

杭州市律协互联网信息专业委员会秘书长

清科集团沙丘创业中心特聘导师

浙江省法学会网络法制研究会理事

邮箱：chensi@dentons.cn

擅长社交电商企业合规、互联网、金融领域。

孙鹏程

北京大成（杭州）律师事务所合伙人

浙江省法学会网络法制研究会理事

邮箱：pengcheng.sun@dentons.cn

擅长互联网、金融领域。

钟海华

杭州世平信息科技有限公司

邮箱：zhonghh@shipinginfo.com

李婷

浙江御安信息技术有限公司

邮箱：lit@yuan-info.com