文章总结： 文档基于最新公安部文件梳理等级保护备案流程，指出附件材料减少且不再强制测评报告，解决了备案与测评的执行矛盾。文章强调备案是网络纳管的关键，运营者须履行主体责任，防止未备案系统成为黑客跳板，以实现精准治理与风险预防。 综合评分： 86 文章分类： 政策法规,网络安全

等级保护备案新增、变更、撤销流程图

原创

何威风

河南等级保护测评

2026年1月15日 00:00 河南

根据最新的《网络安全等级保护备案实施细则（试行）》以及《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)、《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846号）等文件，鄙人梳理整理了等级保护备案流程示意图，供单位（网络运营者）参考。

注1：第三级以上表五附件资料

• 对应材料，网络拓扑结构及说明/网络安全组织架构及管理制度清单/网络安全建设设计方案或整改设计方案/网络安全专用产品清单及相应的安全检测证书、安全认证证书或销售许可证明/使用的安全服务清单/行业主管部门指导定级文件。

注2：备案材料审核要点

• 备案材料填写是否完整，是否符合要求，其纸质材料和电子文档是否一致；
• 网络所定安全保护等级是否准确;
• 按照相关法律法规要求，其他应当审核的内容。

注3：定级不准坚持备案情况

• 公安机关审核认定定级不准，备案单位坚持原定等级的，公安机关应当书面告知其承担由此引发的责任和后果，上报上级公安机关网安部门，并通报备案单位上级行业主管部门。

结合《信息安全等级保护管理办法》等文件以及最新公安部文件要求，等级保护备案工作关于原来提交的七个附件，减少到现在的六个，不再强调等级保护测评报告。此前，应该是备案结束后，出具备案证明，网络运营者完成等级测评后，需要补充等级测评报告。新版备案实施细则在要求附件时，直接删除了这个内容，解决了以往不测评不备案与不备案无法测评的矛盾，特别是测评机构测评前需要录入到公安部等级保护项目管理系统的矛盾点。

以往，是基于现实历史遗留问题以及存量系统，存在两种备案方法论，然而实际上从法理上看，从2007年年底之后，不应该再有未备案的网络（信息系统），有单位存在未备案的信息系统，其实是一种违规状态。我个人推测，一旦《网络安全等级保护条例》出台，各单位面临着新一轮的备案要求。而备案工作，从来都是责任单位（网络运营者）的法定责任，了解等级保护备案流程以及注意事项，是自身做好等级保护工作的必要条件。无论是否采取第三方协助的模式，作为主体责任单位都应该熟悉等级保护备案工作流程，以便更好地监督第三方咨询或测评服务提供者！

等级保护备案本身就是网络纳管的一个动作（过程），不因是否开展等级测评而受影响的。这与户口政策有着异曲同工之妙，不因你是否为非婚生子，都需要上户口，便于人口流动与管理，减少“黑户”违法犯罪逃窜带来的治安压力。网络安全也一样，网络（信息系统）也不应该存在黑户，这样公安网安才能纲张目举，有的放矢抓好网络安全工作。如果大量未纳管系统存在，黑客可以利用这些黑户网络长期潜伏，而不在监管视野。又好比，没有监控发生车祸一样，没有纳管的网络发生网络安全事件，也将带来责任认定极度困难，引发无尽纠纷，削弱法律威慑，助长网络运营者侥幸心理，形成“法外之地”的恶性认知。

等保备案不仅是一份手续，更是一个强制运营者“摸清家底、发现风险、建立防护”的过程。未经此过程，系统可能连基本的漏洞在哪里都不知道。一个自身脆弱的未备案系统，极易被黑客攻破。更危险的是，它可能被利用作为攻击其他重要目标的“跳板”或“僵尸”。一个案例中，未备案的短信平台被攻破后用于发送诈骗短信，运营方也因未履行安全义务被处罚。对监管部门而言，未备案的网络如同“隐形资产”。一旦发生数据泄露或大规模网络攻击，追溯源头、评估影响和应急处置都将异常困难。

纳管是精准治理与风险预防的前提。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 何威风《等级保护备案新增、变更、撤销流程图》