近日,國家互聯網信息辦公室發布《國家網絡安全事件報告管理辦法》(以下簡稱《辦法》),自2025年11月1日起施行。
《辦法》共十四條,主要對網絡安全事件報告適用范圍、監管職責、報告主體、報告流程、報告時限、報告內容等提出規范要求。
國家互聯網信息辦公室有關負責人指出,為規范網絡安全事件報告管理,及時控制網絡安全事件造成的損失和危害,落實《網絡安全法》《關鍵信息基礎設施安全保護條例》等法律法規,國家互聯網信息辦公室制定《國家網絡安全事件報告管理辦法》,進一步規范和明確網絡安全事件報告流程和要求。
目前,網信部門已開通12387網絡安全事件報告熱線、官網、微信公眾號、微信小程序、郵件、傳真等六類網絡安全事件報告渠道,網絡運營者、社會組織和個人可通過上述渠道向網信部門報告網絡安全事件。
《國家網絡安全事件報告管理辦法》答記者問
近日,國家互聯網信息辦公室公開發布《國家網絡安全事件報告管理辦法》(以下簡稱《辦法》),自2025年11月1日起施行。日前,國家互聯網信息辦公室有關負責人就《辦法》有關問題回答了記者提問。
一、問:請介紹一下《辦法》的出臺背景?
一是控制和減少網絡安全事件造成的損失和危害。近年來,各類網絡安全事件頻發,影響范圍和危害程度不斷升級。從網絡安全事件應急處置工作實踐來看,發生網絡安全事件后,及時向有關部門報告,有利于及時處置網絡安全事件,防止危害擴大或產生不良社會影響。
二是細化完善《網絡安全法》等法律法規中有關規定的客觀需要。《網絡安全法》第二十五條明確,網絡運營者應當在發生危害網絡安全的事件時,按照規定向有關部門報告。《辦法》作為專門規定,為網絡運營者明確了網絡安全事件報告的具體要求。
三是借鑒國際通行做法。網絡安全事件報告是國際慣例,近年來,美國、歐盟、澳大利亞、印度等均通過立法或指令建立強制性的網絡安全事件報告義務,明確網絡運營者事件報告時限等要求。
二、問:什么是網絡安全事件?
《辦法》所指網絡安全事件是指由于人為原因、網絡遭受攻擊、網絡存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素,對網絡和信息系統或其中的數據和業務應用造成危害,對國家、社會、經濟造成負面影響的事件。
三、問:《辦法》的適用范圍和事件報告主體是什么?
《辦法》的適用范圍和事件報告主體為在中華人民共和國境內建設、運營網絡或者通過網絡提供服務的網絡運營者。
四、問:《辦法》的主要內容有哪些?
一是明確了網絡運營者的報告義務。《辦法》規定,網絡運營者在發生網絡安全事件時,應當按照本辦法的規定進行報告。
二是明確了網絡安全事件報告的監管職責。《辦法》明確,國家網信部門負責統籌協調全國網絡安全事件報告管理工作,省級網信部門負責統籌協調本行政區域內網絡安全事件報告管理工作。
三是明確了網絡安全事件報告的流程和時限要求。《辦法》針對關鍵信息基礎設施、中央和國家機關及直屬單位,以及其他網絡運營者,分別明確了網絡安全事件報告的流程和時限要求。
四是明確了網絡安全事件報告的渠道。《辦法》明確,網信部門建設12387網絡安全事件報告熱線電話、網站、郵箱、傳真等方式,統一接收網絡安全事件報告。
此外,《辦法》還明確,對遲報、漏報、謊報或者瞞報網絡安全事件造成重大危害后果的運營者依法從重處罰;對采取合理必要的防護措施,有效降低網絡安全事件影響和危害,并按照規定及時報告的運營者,可視情從輕或不予追究責任。
五、問:網絡安全事件報告的流程和時限要求是什么?
涉及關鍵信息基礎設施的,網絡運營者應當第一時間向保護工作部門、公安機關報告,最遲不得超過1小時。屬于重大、特別重大網絡安全事件的,保護工作部門在收到報告后,應當第一時間向國家網信部門、國務院公安部門報告,最遲不得超過半小時。
網絡運營者屬于中央和國家機關各部門及其直屬單位的,應當及時向本部門網信工作機構報告,最遲不得超過2小時。屬于重大、特別重大網絡安全事件的,各部門網信工作機構在收到報告后,應當第一時間向國家網信部門報告,最遲不得超過1小時。國家網信部門收到報告后及時向有關部門通報。
其他網絡運營者應當及時向屬地省級網信部門報告,最遲不得超過4小時。屬于重大、特別重大網絡安全事件的,省級網信部門在收到報告后,應當第一時間向國家網信部門報告,最遲不得超過1小時,并同時向同級有關部門通報。
本行業領域有專門規定的,網絡運營者還應當按照行業主管監管部門要求報告。
涉嫌違法犯罪的,網絡運營者應當及時向公安機關報案。
六、問:網絡安全事件報告的渠道有哪些?
為便于網絡運營者、社會組織和個人快速、規范報告網絡安全事件,網信部門已開通了六類網絡安全事件報告渠道。一是可撥打12387網絡安全事件報告熱線按語音提示進行報告;二是可訪問網絡安全事件報告官網12387.cert.org.cn進行報告;三是可微信搜索“12387”小程序,進入首頁后點擊“事件報告”;四是可關注“國家互聯網應急中心CNCERT”微信公眾號,點擊“事件報告”;五是可發送郵件至郵箱12387@cert.org.cn報告;六是可發送傳真至010-82992387報告。
七、問:網絡安全事件如何分級?
《辦法》中明確了《網絡安全事件分級指南》,作為《辦法》附件。《網絡安全事件分級指南》參照國家標準《信息安全技術
網絡安全事件分類分級指南》(GB/T 20986-2023)制定,以有限枚舉的方式給出特別重大、重大、較大、一般等四個級別網絡安全事件的分級定量指標。
