新書推薦:
《
硝烟下的博弈:工业革命与中西方战争
》
售價:HK$
87.4
《
让内的理性主义 发现无意识之旅
》
售價:HK$
66.1
《
苏美尔文明(方尖碑)
》
售價:HK$
132.2
《
知命不惧:从芝诺到马可·奥勒留的生活艺术
》
售價:HK$
110.9
《
Zemax光学设计从基础到实践
》
售價:HK$
132.2
《
全球化的黎明:亚洲大航海时代
》
售價:HK$
109.8
《
危局
》
售價:HK$
84.0
《
穿裙子的士:叶嘉莹传
》
售價:HK$
53.8
|
內容簡介: |
网络安全靠人民,网络安全为人民。2017年6月1号实施的《中华人民共和国网络安全法》是国家安全法律制度体系中一部重要法律,是网络安全领域的基本大法。《网络安全法》完善了国家、网络运营者、公民个人等角色的网络安全义务和责任,将原来散见于各种法规、规章中的网络安全规定上升到人大法律层面,并对网络运营者等主体的法律义务和责任做了全面规定。《网络安全法》规定,我国实行网络安全等级保护制度。网络安全等级保护制度是国家信息安全保障工作的基本制度、基本国策和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。国家法规和系列政策文件明确规定,实现并完善网络安全等级保护制度,是统筹网络安全和信息化发展,完善国家网络安全保障体系,强化关键信息基础设施、重要信息系统和数据资源保护,提高网络综合治理能力,保障国家信息安全的重要手段。网络安全等级保护包括系统定级、系统备案、建设整改、等级测评和监督检查5个常规动作,贯穿信息系统的全阶段、全流程,是当今发达国家保护关键信息基础设施、保障网络安全的通行做法。对信息系统分级实施保护,在网络安全等级保护基础上,重点保护关键信息基础设施,能够有效地提高我国网络安全建设的整体水平,有利于在信息化建设过程中同步建设网络安全,保障网络安全与信息化建设相协调;有利于为信息系统网络安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制网络安全建设成本;有利于优化网络安全资源的配置。为了便于国家关键信息基础设施主管部门、运营部门、建设部门学习网络安全法、网络安全等级保护系列政策和法规内容,便于各级党委政府、企事业单位开展网络安全风险评估、网络安全监测和通报预警、网络安全事件处置、网络安全保障工作全国综治考核评价工作,便于网信部门、网络安全保卫部门开展监督检查工作,在河南省公安厅网络安全保卫总队的指导下,河南省信息安全等级保护工作协调小组办公室组织编写该书。
|
關於作者: |
夏冰,中原工学院计算机学院,副教授,河南省优秀指导教师,公安部等级保护测评高级测评师,信息系统高级规划师。
|
目錄:
|
目录
第1章国家网络空间安全战略1
1.1网络空间的新作用和新机遇1
1.2网络空间安全面临严峻的新挑战3
1.3战略目标与原则4
1.3.1五大目标4
1.3.2四项原则5
1.4九项战略任务6
1.5战略意义影响深远9
1.5.1中国领导的中国自信9
1.5.2国家网络强国的战略基石10
1.5.3国家网络治理的解决之道10
1.5.4网络空间安全的战略支撑点10
1.5.5网络空间安全的中国特色11
第2章网络安全法13
2.1立法背景与意义13
2.2基本内容14
2.2.1相关概念14
2.2.2法律框架15
2.3法律特色18
2.3.1网络安全基本大法18
2.3.2三项基本原则19
2.3.3六大显著特征19
2.3.4九类网络安全保障制度20
2.3.5惩罚措施23
2.3.6全社会参与者24
2.4十大热点话题25
第3章从不同角度看《网络安全法》29
3.1国家角度29
3.2国家网信部门角度32
3.3国家公安部门角度34
3.4网络用户角度36
3.5网络运营者角度37
3.5.1承担社会责任38
3.5.2网络安全的责任主体38
3.5.3做好网络安全运行工作38
3.5.4做好个人信息保护39
3.5.5违法信息传播的阻断40
3.5.6网络经营者可能涉及的具体罪名40
3.6网络产品和安全服务提供者角度42
3.6.1服务要符合国标的强制性要求42
3.6.2产品销售许可制度43
3.6.3限制发布网络安全信息44
3.6.4禁止网络犯罪和支持协助犯罪44
3.6.5安全服务人员行业准入制度44
3.7关键信息基础设施运营者角度45
3.7.1关键基础设施的范围45
3.7.2具有中国特色的网络安全管理机制46
3.7.3严格的日常安全保护义务46
3.7.4特殊的安全保障义务47
3.7.5重点行业需要关注的十项重点工作48
第4章《网络安全法》配套法律法规50
4.1个人信息和重要数据出境安全评估办法50
4.1.1基本概念50
4.1.2立法目的51
4.1.3哪些出境数据需要评估51
4.1.4哪些数据禁止出境52
4.1.5评估频率和责任主体52
4.1.6网络运营者需要关注什么53
4.2网络产品和服务安全审查办法54
4.2.1审查对象54
4.2.2审查用户54
4.2.3审查内容55
4.2.4审查工作流程55
4.2.5第三方机构管理56
4.3互联网新闻信息服务管理规定56
4.3.1出台背景56
4.3.2作用意义57
4.3.3主要内容58
4.3.4重点内容59
4.4个人信息保护法规59
4.4.1网络安全法59
4.4.2两院关于侵犯公民个人信息入刑的主要内容61
4.4.3两院关于侵犯公民个人信息入刑的规定64
4.4.4侵犯公民个人信息犯罪典型案例66
4.5关键信息基础设施安全保护条例66
4.5.1安全保护意识的三种思维方式67
4.5.2关键信息基础设施保护范围67
4.5.3运营者履行的安全保护68
4.5.4核心部门的责任69
4.6互联网论坛社区服务管理规定70
4.6.1互联网论坛社区服务管理规定的出台背景70
4.6.2互联网论坛社区服务提供者要做什么70
4.6.3互联网论坛社区服务提供者不能做什么71
4.6.4真实身份认证72
4.7网络安全法执法典型案例72
第5章网络安全等级保护2.0时代77
5.1等级保护2.0时代77
5.1.1网络安全的现状77
5.1.2如何理解等级保护2.079
5.1.3开展等级保护的重要意义81
5.2信息安全和等级保护82
5.2.1信息安全保障82
5.2.2信息安全模型82
5.2.3等级保护86
5.3网络安全等级保护的基本内容88
5.3.1角色及其职责88
5.3.2工作环节89
5.3.3实施过程的基本要求91
5.3.4实施等级保护的基本原则92
5.4信息安全等级保护的政策依据93
5.4.1国家法律和政策依据93
5.4.2公安机关开展等级保护工作的依据94
5.5信息安全等级保护的标准体系96
5.5.1信息安全等级保护相关标准体系99
5.5.2信息安全等级保护主要标准简介103
5.6信息安全等级保护的发展历程和工作现状106
第6章等级保护107
6.1定级107
6.1.1基本工作概述107
6.1.2如何理解定级对象109
6.1.3如何理解安全保护等级110
6.1.4定级工作如何开展113
6.1.5等级如何审批和变更117
6.2备案118
6.2.1备案需要什么资料118
6.2.2备案工作流程118
6.2.3如何受理备案119
6.2.4公安机关受理备案要求119
6.2.5定级不准怎么办120
6.3建设整改120
6.3.1基本工作概述120
6.3.2如何整改安全管理制度124
6.3.3如何整改安全技术措施127
6.3.4如何制定整改方案131
6.4等级测评132
6.4.1基本工作概述133
6.4.2测评工作流程有哪些134
6.4.3测评指标知多少141
6.4.4测评结果是如何研判的142
6.4.5谁来开展等级测评144
6.4.6如何规避测评风险146
6.4.7读懂测评报告148
6.5网络安全等级保护151
6.5.1体系架构151
6.5.2等级保护指标数量153
第7章信息安全管理和风险评估155
7.1信息安全管理155
7.1.1基本概念155
7.1.2基本内容156
7.1.3安全管理原则158
7.1.4安全管理方法159
7.1.5重点单位信息安全管理159
7.1.6不履行信息网络安全管理义务罪160
7.2信息安全治理161
7.2.1安全治理行动原则和模型161
7.2.2安全治理过程162
7.3信息安全风险管理163
7.3.1风险管理常见名称163
7.3.2安全风险管理过程164
7.4信息安全风险评估166
7.4.1法规依据166
7.4.2信息安全风险评估基本内容167
7.4.3风险评估准备阶段169
7.4.4资产识别阶段169
7.4.5威胁识别阶段171
7.4.6脆弱性识别阶段173
7.4.7风险分析阶段173
7.4.8风险评估所需资料174
7.5信息安全风险处置176
7.5.1风险处置流程176
7.5.2风险降低178
7.5.3风险保留178
7.5.4风险规避179
7.5.5风险转移179
7.5.6风险接受179
7.5.7风险沟通179
7.5.8风险监视180
第8章网络安全事件管理和应急响应181
8.1法规依据181
8.1.1中华人民共和国突发事件应对法181
8.1.2中华人民共和国网络安全法182
8.1.3国家突发公共事件总体应急预案183
8.1.4突发事件应急预案管理办法184
8.1.5信息安全技术信息安全事件分类分级指南185
8.1.6国家网络安全事件应急预案185
8.2网络安全事件的分类分级管理186
8.2.1七类网络安全事件186
8.2.2四级网络安全事件186
8.3组织机构和保障措施188
8.3.1多层组织机构188
8.3.2十大保障措施188
8.4监测和预警190
8.4.1预警分级190
8.4.2预警监测190
8.4.3预警研判和发布190
8.5网络安全事件应急处置191
8.5.1发生事件要及时报告191
8.5.2四级别应急响应191
8.5.3应急结束后的通报制度192
8.6如何制定应急响应预案192
8.6.1总则192
8.6.2角色及职责193
8.6.3预防、监测和预警机制193
8.6.4应急处置流程194
8.6.5保障措施和监督管理196
8.7如何做好网络安全事件应急预案196
8.7.1做到六个必须196
8.7.2抓好七个关键点198
8.7.3防止三大问题出现200
8.7.4做好网络安全事件的日常管理工作200
第9章网络安全监测预警和信息通报202
9.1法规依据202
9.1.1中华人民共和国网络安全法202
9.1.2关于加快推进网络与信息安全信息通报机制建设的通知203
9.1.3十三五国家信息化规划204
9.1.4关于加强网络安全信息通报预警工作的指导意见204
9.1.5关于加强智慧城市网络安全管理工作的若干意见204
9.1.6互联网网络安全信息通报实施办法205
9.2信息通报中心205
9.2.1信息通报中心组建205
9.2.2信息通报中心职责205
9.2.3信息通报中心成员与职责206
9.2.4建立信息通报日常工作机制207
9.3信息通报中心工作规范208
9.3.1信息通报中心工作内容208
9.3.2信息通报内容和方式208
9.3.3网络安全事件通报处置209
9.3.4信息通报机制209
9.3.5签订网络安全承诺书209
第10章网络安全保障工作综治考核211
10.1背景和意义211
10.2综治考评法规依据212
10.2.1综治工作(平安建设)考核评价实施细则212
10.2.2健全落实社会治安综合治理领导责任制规定213
10.2.3网络安全保障工作全国综治考核评价213
10.2.4加强社会治安防控体系建设214
10.3网络安全保障工作考核指标214
10.3.1信息安全等级保护工作214
10.3.2网络与信息安全通报预警工作215
10.3.3重要信息系统和政府网站发生的案(事)件情况215
10.3.4综合防控和打击网络规范犯罪情况216
10.3.5网络社会治安防控体系建设216
10.3.6信息安全服务管理工作216
第11章网络安全监管218
11.1公安机关监督检查工作的法规依据218
11.1.1中华人民共和国计算机信息系统安全保护条例218
11.1.2中华人民共和国警察法219
11.1.3关于信息安全等级保护工作的实施意见219
11.1.4信息安全等级保护管理办法219
11.1.5公安机关信息安全等级保护检查工作规范220
11.1.6关于开展信息安全等级保护专项监督检查工作的通知220
11.2公安机关的监督检查工作内容220
11.2.1工作目的220
11.2.2信息安全等级保护监督检查内容220
11.2.3
|
內容試閱:
|
前 言
网络安全靠人民,网络安全为人民。2017年6月1号实施的《中华人民共和国网络安全法》是国家安全法律制度体系中一部重要法律,是网络安全领域的基本大法。《网络安全法》完善了国家、网络运营者、公民个人等角色的网络安全义务和责任,将原来散见于各种法规、规章中的网络安全规定上升到人大法律层面,并对网络运营者等主体的法律义务和责任做了全面规定。
《网络安全法》规定,我国实行网络安全等级保护制度。网络安全等级保护制度是国家信息安全保障工作的基本制度、基本国策和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。国家法规和系列政策文件明确规定,实现并完善网络安全等级保护制度,是统筹网络安全和信息化发展,完善国家网络安全保障体系,强化关键信息基础设施、重要信息系统和数据资源保护,提高网络综合治理能力,保障国家信息安全的重要手段。
网络安全等级保护包括系统定级、系统备案、建设整改、等级测评和监督检查5个常规动作,贯穿信息系统的全阶段、全流程,是当今发达国家保护关键信息基础设施、保障网络安全的通行做法。对信息系统分级实施保护,在网络安全等级保护基础上,重点保护关键信息基础设施,能够有效地提高我国网络安全建设的整体水平,有利于在信息化建设过程中同步建设网络安全,保障网络安全与信息化建设相协调;有利于为信息系统网络安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制网络安全建设成本;有利于优化网络安全资源的配置。
随着云计算、移动互联、大数据、物联网、工业控制系统、人工智能等新技术不断涌现,传统信息系统安全的边界和防护发生了变化。起到支撑、传输作用的基础信息网络和各类应用组成的信息系统本质没有发生变化,网络安全等级保护仍然适用。但是,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,这些都要求等级保护外延的拓展。新的系统形态、新业态下的应用、新模式背后的服务以及重要数据和资源统统进入了等级保护视野。具体对象则囊括大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等,网络安全等级保护进入了2.0时代。在2.0时代下,等级保护的内涵在信息系统安全等级保护的基础之上,风险评估、网络安全事件应急处置、网络安全监测与通报预警、网络安全保障工作综治考核、政府网站监管、新型智慧城市监管等与网络安全密切相关的措施将被全部纳入网络安全等级保护制度范畴内。
为了便于国家关键信息基础设施主管部门、运营部门、建设部门学习网络安全法、网络安全等级保护系列政策和法规内容,便于各级党委政府、企事业单位开展网络安全风险评估、网络安全监测和通报预警、网络安全事件处置、网络安全保障工作全国综治考核评价工作,便于网信部门、网络安全保卫部门开展监督检查工作,在河南省公安厅网络安全保卫总队的指导下,河南省信息安全等级保护工作协调小组办公室组织编写该书。
本书由中原工学院的夏冰教授统筹协调书稿,做了大量工作,并负责书稿的主体编写工作。中原工学院郑秋生教授、河南省委网信办王沛栋副研究员、河南省网络安全保卫总队的刘晓、河南省鼎信信息安全等级测评有限公司的陈宇也参与了本书的编写并提供建设性建议,在此表示感谢。河南省网络安全保卫总队的王志奇调研员对书稿审查投入大量精力,在此表示由衷的感谢。本书的编写还得到计算机信息系统安全评估河南省工程实验室和郑州市网络安全创新团队的项目资金支持,在此表示感谢。
由于水平有限,书中难免有不足之处和错误,敬请读者批评指正。
作 者
|
|