關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 法規標準
顯示分類
2025.09.26
標準與框架/法規標準
中國根據國家網信辦新規要求網路安全事件通報時間提早一小時
報導摘要

為應對日益升級的網路威脅和確保國家網路空間安全,中國國家網路資訊辦公室(Cyberspace Administration of China, CAC)頒布了全新的網路安全監管制度。此項新規定的核心要求是,當發生「嚴重」或「特別嚴重」的網路安全事件時,相關企業必須在一小時內向主管機關通報。該法規將於2025年11月1日正式生效,標誌著中國在強化網路應對機制、推動積極主動的網路治理方面邁出了關鍵一步。新制度不僅明確劃分了事件的嚴重等級,也標準化了報告範本和管道,並對未按時通報或隱瞞資訊的行為設置了明確的法律責任和處罰,旨在私營與公共部門間建立同步、高效的危機管理體系。


法規核心與全球趨勢

為加強國家網路安全防禦,中國國家網路資訊辦公室(CAC)建立了新的監管制度,要求企業在發生重大網路安全事件時,必須在1小時內通報。該規定將於2025年11月1日生效,旨在應對日益升級的網路安全威脅,加強應對機制。 該法規規範了網路安全事件的報告方式,優先考慮快速控制損害,並在私營和公共部門之間同步進行危機管理。該法規與美國、歐盟和印度等司法管轄區的類似全球舉措一致,彰顯了中國對積極主動的網路治理的承諾。 此一小時報告的強制要求,對網路營運者提出了立即察覺並回應網路安全威脅的核心要求。無論是軟硬體缺陷、系統故障、人為錯誤、網路攻擊,甚至是不可抗力因素造成的事件,均涵蓋在法規的規範範圍內。即便事件的確切原因或損害程度在最初並不清楚,網路營運者仍有義務在規定時限內提交初步數據,以啟動快速響應流程。此一要求旨在確保國家層面能夠在網路安全事件的黃金應對時間內,即時掌握情況並協調資源,以最大限度地減少潛在的國家安全和經濟損失。這也反映了全球對於關鍵產業和資料保護日益收緊的監管趨勢。


網路安全事件的定義與嚴重等級

CAC的新規定透過一套清晰的分級系統,來決定報告的緊急程度和升級路徑。CAC 的分類系統指定了四個威脅等級——特別重大、重大、重大和一般,以確定報告的緊急程度和升級路徑。嚴重和特別嚴重兩個級別觸發一小時報告要求:

  1. 特別嚴重事件包括:
  • 影響一個省超過50%人口的中斷事件。

  • 損害超過1000萬人基本服務的事件。

  • 針對關鍵政府或高知名度媒體基礎設施的攻擊。

  1. 嚴重事件涵蓋:

  • 資料外洩影響超過 1000 萬筆記錄。

  • 核心業務入口網站長期中斷。

  • 導致關鍵資訊基礎設施癱瘓的攻擊。

這種分類將事件響應優先順序與國家安全問題和營運關鍵性結合起來。除了觸發一小時報告的這兩個級別外,對於較低級別的網路安全事件,法規也要求網路營運者採取相應的內部響應和處理措施。只有當事件被定性為「嚴重」或「特別嚴重」時,才會觸發對外的一小時強制報告義務,這要求企業必須具備成熟的內部事件評估與分類能力。所有事件,不論初始嚴重性如何,都必須在事件發生後的24小時內提交一份完整的事件報告,並在五個工作日內提交一份全面的根本原因分析報告,以協助監管機構調查系統性漏洞。


分層報告義務與時限要求

新法規根據組織的所有權性質和基礎設施的關鍵性,區分了不同的報告路徑和時間表,確保了事件資訊的迅速傳遞與決策層面的即時響應。

  • 關鍵資訊基礎設施營運者 (CIIOs): 必須在事件發生後,立即通知其保護部門和公共安全機關,且不得晚於一小時。CIIOs 作為國家基礎運營的基石,其報告要求最為嚴格,強調即時同步響應。

  • 中央或國家機構下轄的營運者: 必須在事件發生後的兩小時內完成內部報告。如果事件被分類為「嚴重」或「特別嚴重」,則內部報告必須在一小時內升級至CAC。這要求政府相關實體的內部報告鏈條必須極為精簡高效。

  • 所有其他網路營運者: 必須在事件發生後的四小時內向省級網路資訊辦公室報告。如果省級機構判定事件達到關鍵級別,則必須立即向更高級別的網路資訊主管部門升級通報。

此外,無論是哪個類型的營運者,一旦懷疑事件涉及刑事犯罪活動(如勒索、未經授權存取或資料竊取),則必須同時通知公共安全機關,以確保執法部門能夠及時介入調查。這種分層和多管道的報告機制,旨在建立一個國家層面全覆蓋、多部門協作的網路安全態勢感知和應對體系。


標準化報告格式與法律責任

為確保報告內容的準確性、一致性和資訊的實用性,CAC強制要求報告必須遵循標準化的範本——《網路安全事件資訊報告表》。該範本涵蓋了事件響應所需的所有關鍵資訊,包括:單位名稱和基本系統識別碼、事件發生的時間、日期和地理位置、事件的類型和規模、造成的系統損害和營運中斷情況、已採取的措施和結果、攻擊類型(如勒索軟體)及贖金要求、威脅向量分析以及事件升級的潛在可能性。

為了便利合規,CAC開放了六個官方報告管道,包括國家熱線(12387)、微信、傳真、電子郵件、CAC官方網站以及其他數位平台,使組織、營運者和個人能夠迅速、安全地提交事件通知。

在法律責任方面,新法規對違規行為施加了嚴厲的壓力。未能按時報告、隱瞞資訊或提交虛假報告的行為,將對組織和相關負責人啟動法律處罰。如果延誤報告導致損害升級或產生二次效應,處罰將更加嚴厲。然而,法規也體現了彈性:對於及時報告並實施有效風險緩解策略的營運者,可能會獲得減輕處罰甚至豁免的機會,旨在鼓勵積極主動的風險管理和合規行為。此外,對於金融服務或能源等受行業特定法規監管的營運者,必須同時遵守CAC框架和其行業報告標準,形成雙重合規的格局。


結論與企業因應之道

中國的「一小時報告」新規是國家網路安全戰略的重大升級,反映了中國與全球網路治理趨勢的對齊。對於在中國運營的所有網路營運者而言,當務之急是在2025年11月1日之前,全面調整和優化其網路安全事件響應流程,以確保合規性。

企業應採取以下關鍵行動:

  1. 建立自動化警報系統: 部署能夠在第一時間識別並分類「嚴重」或「特別嚴重」事件的自動化工具,確保在危機發生時能夠實現一小時內的合規通報。

  2. 釐清內部響應鏈條: 關鍵實體必須簡化其組織內部報告鏈,確保能夠同時處理內部和對外主管機關的通知,特別是針對中央或關鍵資訊基礎設施的營運者。

  3. 熟悉事件分類結構: 網路安全部門必須完全熟悉並掌握四層次的事件嚴重性結構,以及與之匹配的報告義務和升級機制。

  4. 整合雙重合規: 涉及特定行業(如金融、能源)的營運者,必須將CAC框架與既有的行業報告標準結合,確保雙重合規得到正式的內部協定支持。

建立穩健、及時且透明的事件響應工作流程,不僅是滿足法律合規的必要條件,更是保護企業營運彈性和支持國家網路安全韌性的關鍵所在。隨著監管環境的持續演變,積極投資於事件響應準備將成為企業持續經營的重要保障。


資料來源:https://dailysecurityreview.com/cyber-security/china-mandates-1-hour-cybersecurity-incident-reporting-under-new-cac-rules/
 
中國國家網路資訊辦公室(CAC)建立新的監管制度,要求企業在發生重大網路安全事件時,必須在2025年11月1日生效的法規下,於一小時內完成初步通報,旨在加強國家網路安全防禦並與國際規範接軌。