AI智能体专区
立即体验恒脑3.0 
智能化安全服务
安全托管服务
侦测服务
保护检测服务
监控分析服务
应急服务
运营管理服务
重磅解读|《网络安全法》修正草案与《网络安全事件报告管理办法》
2025年9月8日,《网络安全法》修正草案正式提请全国人大常委会会议审议,标志着我国网络安全领域基础性法律迎来首次重大调整。9月15日,国家互联网信息办公室发布《国家网络安全事件报告管理办法》(简称《办法》),进一步细化网络安全事件报告的具体要求,该办法将于2025年11月1日起正式施行。这体现了我国网络安全工作“强监管、严责任、细落实”的趋势,为构建更加完善的网络安全保护体系奠定了坚实的法律和政策基础。
本次修正草案主要呈现三大特点
强化法律责任,提高违法成本:草案对拒不履行网络安全等级保护、关键信息基础设施安全保护等义务或者导致危害网络安全等后果的行为,提高了罚款幅度、延长了停业整顿期限,明确了对直接责任人员的处罚,形成更强的法律震慑力。
坚持体系化衔接,推动协同监管:适应形势加强与《数据安全法》《个人信息保护法》《行政处罚法》的衔接协调,对相关法律责任制度作出科学优化,进一步保障网络安全,明确监管部门职能分工,理顺行政执法流程,推动实现跨部门、跨行业的联合监管和执法协同。
坚持分类施策,精准治理风险:针对网络运行安全、网络信息安全、个人信息保护、关键信息基础设施保护等不同类型的违法行为,设置更为科学的法律责任,使监管更具可操作性、执法更有针对性。
修改的主要内容包括以下方面:
(一)关于网络运行安全的法律责任。结合实践中危害网络安全后果的情况,增加造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的,和造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的情形,并参照《数据安全法》调整了现行《网络安全法》第五十九条罚款幅度,增加相应处罚规定;新增销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的法律责任;明确关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务行为的处置处罚措施。
(二)关于网络信息安全的法律责任。为防范新形势下网络信息内容安全风险对国家安全、政治安全带来的风险挑战,结合近年来网络信息内容执法实践,借鉴国外相关立法法律责任制度的新调整,完善现行《网络安全法》第六十八条、第六十九条针对的违法情形,调整未向有关主管部门报告和不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施情形的法律责任,明确对造成特别严重影响、特别严重后果的违法情形的处置处罚措施。
(三)关于个人信息和重要数据安全的法律责任。鉴于《数据安全法》《个人信息保护法》等有关法律、行政法规对现行《网络安全法》第六十四条第一款、第六十六条涉及的个人信息和重要数据违法行为的处罚作出了新的专门规定,明确转致适用的规定。
(四)关于从轻、减轻或者不予行政处罚的情形。统筹考虑《网络安全法》和《行政处罚法》的适用关系,专门新增一条衔接规定,明确网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依法从轻、减轻或者不予处罚;明确有关主管部门依据职责制定相应的行政处罚裁量基准。
《国家网络安全事件报告管理办法》共十四条,对网络安全事件报告的适用范围、监管职责、报告主体、报告流程、时限及内容等进行了系统规范,明确国家层面网络安全事件报告体系的组织与职责分工,规范报告的标准化内容与格式要求。
对网络安全事件实行分级分层的报告义务:从企业内部上报、主管部门集中汇总,到国家层面通报与联防联控,形成“发现、报告、处置、评估、整改”的闭环流程。强调证据保存、信息留痕和与司法机关协同配合的要求,明确对未及时上报或隐瞒事实的责任追究机制。
明确报告时限,分类分级响应
根据《办法》规定,不同类型运营主体报告时限有所不同:
细化报告内容,强调全面准确
报告网络安全事件时,应当包括下列内容:
1)基础信息:涉事单位名称及涉事系统或设施基本情况;
2)事件详情:网络安全事件发现或发生的时间、地点、类型、级别,以及已造成的影响和危害,已采取的措施及效果;对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等;
3)发展趋势:事态发展趋势及可能造成的进一步影响和危害;
4)事件原因:网络安全事件原因初步分析意见;
5)溯源线索:溯源调查工作线索,包括但不限于可能的攻击者信息、攻击路径、存在的漏洞等;
6)应对措施:拟进一步采取的应对措施以及请求支援事项;
7)现场保护:网络安全事件现场保护情况;
8)其他情况:其他应当报告的情况。
推动多元治理,鼓励社会参与
《办法》通过综合考量运营者在网络安全防护及事件处置中实际情况,优化了监管执法,实现了由"唯结果论"追责模式向"从轻或不予追究"转变。同时,《办法》鼓励社会组织和个人报告所获悉的较大以上网络安全事件。
网信部门已开通了六类网络安全事件报告渠道:一是可拨打12387网络安全事件报告热线按语音提示进行报告;二是可访问网络安全事件报告官网12387.cert.org.cn进行报告;三是可微信搜索“12387”小程序,进入首页后点击“事件报告”;四是可关注“国家互联网应急中心CNCERT”微信公众号,点击“事件报告”;五是可发送邮件至邮箱[email protected]报告;六是可发送传真至010-82992387报告。
完善安全管理机制:
《网络安全法》修正草案强化不同主体的法律责任,要求企业保留处置痕迹、证据档案与整改记录。例如,增加“存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,从轻、减轻或者不予行政处罚”。《办法》对报告内容、保全与协作有明确要求。两者结合使监管部门在调查与追责时具备更完备的事实链条,也给合规企业提供“及时上报并整改,从轻或从宽处理”的制度激励。
依据《网络安全事件分级指南》,结合自身业务特点,制定清晰的内部安全事件定级标准(特别重大、重大、较大、一般),细化从发现、研判到内部报告、外部报告的完整流程、责任人与时限要求,确保一旦发生事件,能迅速启动应急响应。建立应急响应团队,明确分工,定期开展应急演练,模拟各类安全事件场景,熟练操作流程,确保在实际事件中能快速、有效地进行处置和报告。
《网络安全法》修正草案提高了对未履行网络安全保护义务的处罚力度,特别是对关键信息基础设施运营者。落实网络安全等级保护制度,定期进行系统定级、备案、安全建设和测评,确保网络系统的安全防护能力达到相应等级标准。
对于关键信息基础设施运营者,提升威胁监测与溯源能力,支持多源数据关联分析,提升对高级威胁的发现能力和攻击溯源能力,以符合《办法》中报告“溯源调查工作线索”的要求。
加强人员安全管理:
网络安全并非仅靠技术和制度就能实现,人的因素至关重要。开展全员网络安全意识教育,包括网络安全政策法规、风险形势、实践案例的培训,提升员工对安全风险的警惕性和防范能力。针对IT和安全团队,组织开展应急响应、取证分析、漏洞管理等专业技能培训,使其熟练掌握《办法》规定的报告时限、渠道和内容要求。协同外部专业力量,有效提升安全防护水平。
同时,做好供应商安全管理。《办法》要求网络运营者应以合同等形式要求服务提供商及时报告其监测到的网络安全事件。企业需在合同或其他文件中明确约定第三方的安全责任和义务,建立有效的监督机制。
《网络安全法》修正草案与《国家网络安全事件报告管理办法》的发布进一步完善了我国网络安全治理与监管架构。对企业而言,既是合规挑战,也是提高自身风险治理能力与市场竞争力的契机。建议网络运营单位将法律要求转化为可执行的制度、技术与运营体系建设,把报告做成常态化流程,把处置做成可留痕的闭环,把治理做成持续改进的能力。
安恒信息认为,企业需要进一步明确落实网络安全责任,建立完善的安全管理制度、技术防护措施和应急响应机制;加强安全防护体系与业务系统的深度融合,通过威胁情报、攻击模拟、态势感知等技术手段,提升风险发现与处置的及时性和有效性。
当前,安恒信息在网络安全防护、监测预警、事件处置、合规咨询等方面形成了全栈能力,能够帮助客户高效落实《网络安全法》以及《国家网络安全事件报告管理办法》等政策要求:通过态势感知平台实现对网络运行风险的实时监测和分级告警,通过攻击模拟与安全验证平台定期验证防护体系有效性,依托安全运营中心提供7×24小时持续安全运营与应急响应支持,结合威胁情报、漏洞管理、数据安全治理、合规咨询服务,帮助客户建立从“资产梳理—风险评估—防护部署—威胁检测—事件报告—应急处置—整改验证”的安全治理体系,为落实主体责任、满足监管检查和持续提升防护能力提供技术和运营保障。
安恒信息将持续发挥在网络安全与数据安全领域的技术优势,为政企客户提供从基础防护、检测响应到安全运营的一体化解决方案,助力政府部门和企业落实法律要求、提升网络安全治理能力,共同营造安全、可信的数字环境。
