新書推薦:
《
不羁.完结篇
》
售價:HK$
60.7
《
性别经济学
》
售價:HK$
71.3
《
中国书法嬗变与思考(国家社科基金后期资助项目)
》
售價:HK$
112.7
《
关键冲突:如何化人际关系危机为合作共赢(原书第2版)
》
售價:HK$
86.3
《
探索清陵五十年
》
售價:HK$
1012.0
《
定鼎中原之路:从皇太极入关到玄烨亲政
》
售價:HK$
101.2
《
财之道丛书·如何让人投资你:股权激励融资全揭秘
》
售價:HK$
101.2
《
PyTorch深度学习与计算机视觉实践
》
售價:HK$
90.9
|
| 編輯推薦: |
|
本书主要面向具备信息系统和网络安全基础知识,希望对我国网络安全法律法规和标准的体系进行系统深入学习的人员。本书将数字政府网络安全合规性拆分为政务行业和领域的网络安全要求、政务部门网络安全责任、政务信息系统安全防护技术要求三个方面,分别从工作角度和技术角度对网络安全领域“4 法 4 条例 7 办法意见 7 类标准”进行梳理、整合,较为系统全面地归纳总结了网络安全合规工作的各项要求。多维度提炼数字政府网络安全合规技术框架,在技术框架方面提炼出16个安全控制域:其中10个常用安全控制域覆盖了等级保护和密码应用的安全层面,另外6个安全控制域分别是供应链安全、业务连续性、应急处理、密码管理、数据安全和个人信息安全。
|
| 內容簡介: |
本书主要面向具备信息系统和网络安全基础知识,希望对我国网络安全法律法规和标准的体系进行系统深入学习的人员。本书将数字政府网络安全合规性拆分为政务行业和领域的网络安全要求、政务部门网络安全责任、政务信息系统安全防护技术要求三个方面,分别从工作角度和技术角度对网络安全领域“4 法 4 条例 7 办法意见 7 类标准”进行梳理、整合,较为系统全面地归纳总结了网络安全合规工作的各项要求,同时紧贴数字政府建设安全需求,对相关单位在非涉密信息系统的规划、建设和运行阶段规范开展网络安全工作具有指导和参考意义。
本书共 6 章,前 3 章是工作合规指引,后 3 章是技术合规指引。第 1 章主要介绍我国网络安全法律法规体系,分析政务行业网络安全合规工作主要依据。第 2 章主要介绍网络安全法律法规,以及政务主管部门发布的规定和办法中网络安全主要相关内容。第 3 章在前两章的基础上,系统梳理了政务部门的工作角色、应承担的网络安全责任和义务以及在信息系统规划、建设和运行等阶段,网络安全主要工作重点和步骤。第 4章系统地讲解了 7 项网络安全工作对应的 7 大类网络安全标准。第 5 章系统地描述了在规划、建设和运行阶段,网络安全 7 项工作应如何按照标准实施。第 6 章是本书的重点,旨在解决实施过程中可能由于条款理解偏差带来的低效率、重复建设等问题,本章将相关条款整合到统一框架体系中,便于读者查阅、对照,从而在实际工作中做到一次工作多项合规。
|
| 關於作者: |
禄凯,国家信息中心信息与网络安全部副主任。多年从事网络安全领域研究工作,注重技术理论与实线结合。参与完成国家“信息安全风险管理”“网络安全等级保护”“网络安全监测预警”等多项国家标准,参与多项国家网络安全防护工程建设工作,组织完成多项国家网络安全专项研究和产业化建设项目。组织政务及相关领域网络安全专业培训工作,培养了大批专业技术人才。
章恒,国家信息中心电子政务信息安全等级保护测评中心高级工程师, 国信北大网络空间安全实验室主任;多年从事网络安全领域研究工作,主要研究方向为自组织网络、移动通信系统、云计算安全、数据安全、移动应用安全等;国家网络安全等级保护标准云计算部分主要编制人;主持或参与过多项国家、省部级重大专项课题的研究工作;在国内外发表多篇学术论文,获得国际国内发明专利多项。
李万仓 ,国家信息中心电子政务信息安全等级保护测评中心高级工程师,国信北大网络空间安全实验室副主任;多年从事网络安全领域研究工作,主要研究方向为密码算法安全、云计算安全和数据安全等;主持或参与多个政务重要信息系统和超大型互联网平台的安全咨询和评估工作;参与信息安全风险评估方法等国家标准的编制,在国内发表多篇学术论文。
|
| 目錄:
|
第一部分 工作合规指引
第1 章 数字政府网络安全合规概述 2
1.1 网络安全政策法律法规介绍 2
1.1.1 党中央高度重视网络安全工作 2
1.1.2 《网络安全法》确立了网络安全领域的基本制度 4
1.1.3 《数据安全法》和《个人信息保护法》完善和发展了法律规范体系 5
1.1.4 《密码法》通过促进密码应用保障网络与信息安全 5
1.2 数字政府网络安全合规的主要依据 6
1.2.1 网络安全法律法规给出了合规工作的上位要求 6
1.2.2 政务主管部门办法和意见指明合规工作的推进方向 6
1.2.3 网络安全突出问题暴露了合规工作的薄弱环节 7
1.2.4 网络安全监管部门的措施建议提供了合规工作的方法 8
1.3 政务部门网络安全管理和工作主要责任 9
1.3.1 党委(党组)网络安全责任 9
1.3.2 网络运营者主体责任 9
1.3.3 政务数据资源管理和保护责任 10
第2 章 数字政府网络安全合规要求 11
2.1 《网络安全法》 11
2.1.1 主要内容 11
2.1.2 政务主要相关要求 12
2.2 《密码法》 13
2.2.1 主要内容 13
2.2.2 政务主要相关要求 14
2.3 《数据安全法》 14
2.3.1 主要内容 14
2.3.2 政务主要相关要求 16
2.4 《个人信息保护法》 17
2.4.1 主要内容 17
2.4.2 政务主要相关要求 19
2.5 《国家政务信息化项目建设管理办法》 20
2.5.1 落实网络安全等级保护规定 20
2.5.2 密码应用“三同步、一评估” 21
2.5.3 安全验收 21
2.5.4 构建全方位、多层次、一致性的防护体系 21
2.6 《关键信息基础设施安全保护条例》 22
2.6.1 关键信息基础设施的认定 22
2.6.2 关键信息基础设施运营者的职责 22
2.6.3 关键信息基础设施行业保护部门的职责 23
2.7 《网络安全等级保护条例(征求意见稿)》 23
2.8 《商用密码管理条例》 24
2.9 《网络数据安全管理条例(征求意见稿)》 26
2.10 《网络安全审查办法》 28
2.10.1 网络安全审查的客体和原则 28
2.10.2 网络安全审查的重点对象 28
2.10.3 网络平台运营者赴国外上市须强制性审查 29
2.11 《数据出境安全评估办法》 29
2.11.1 境外数据安全评估原则 30
2.11.2 数据出境安全评估情形与要求 30
2.12 《云计算服务安全评估办法》 30
2.12.1 云计算服务安全评估依据 30
2.12.2 云计算服务安全评估的重点评估内容 31
2.13 国务院《关于加强数字政府建设的指导意见》 33
2.13.1 坚持安全可控的基础原则 34
2.13.2 构建数字政府全方位安全保障体系 34
2.13.3 保障数据和个人信息安全 35
2.14 《国家电子政务外网网络与信息安全管理暂行办法》 36
2.15 《全国一体化政务大数据体系建设指南》 37
2.16 网络安全主要角色合规要求汇总 38
2.16.1 个人信息处理者 39
2.16.2 数据处理者 43
2.16.3 重要数据的处理者 49
2.16.4 网络运营者 51
2.16.5 关键信息基础设施运营者 55
2.16.6 关键信息基础设施安全保护工作的部门 58
2.16.7 履行个人信息保护职责的部门 59
2.16.8 当事人 60
2.16.9 各级政务外网单位 61
2.16.10 项目建设单位 62
2.16.11 云服务商 64
第3 章 数字政府网络安全合规工作指南 66
3.1 政务部门网络安全工作的确立 66
3.1.1 网络安全合规工作的主要目标 66
3.1.2 安全保护对象 67
3.1.3 网络安全保护责任和义务 69
3.2 政务部门网络安全职责分工 72
3.2.1 政务信息化领导小组 74
3.2.2 政务信息化建设管理协调机制 75
3.2.3 数据资源管理部门 75
3.2.4 政务云主管部门 76
3.2.5 政务云管理机构 77
3.2.6 政务云相关服务商 77
3.2.7 政务云使用单位 78
3.2.8 未上云的政务信息系统运营者 79
3.3 开展网络安全合规工作的主要步骤 79
3.3.1 统筹规划 79
3.3.2 全面执行 80
3.3.3 监督检查 81
3.3.4 处理改进 81
3.4 网络安全合规工作要点 81
3.4.1 网络安全等级保护 81
3.4.2 商用密码应用安全性评估 83
3.4.3 数据安全保护 84
3.4.4 个人信息保护 85
3.4.5 关键信息基础设施安全保护 86
3.4.6 云计算服务安全评估 87
3.4.7 网络安全事件应急预案和演练 88
3.4.8 政务网络安全保障 90
第二部分 技术合规指引
第4 章 数字政府网络安全合规标准 94
4.1 政务信息系统网络安全合规适用性说明 95
4.2 网络安全等级保护 95
4.2.1 定级指南 97
4.2.2 基本要求 98
4.2.3 设计技术要求 101
4.2.4 测评要求 104
4.3 商用密码应用安全性评估 106
4.3.1 基本要求 107
4.3.2 商用密码应用 110
4.3.3 密码应用安全性评估 112
4.4 关键信息基础设施安全保护 115
4.4.1 《关键信息基础设施安全保护要求》的主要内容 115
4.4.2 安全保护基本原则 117
4.4.3 安全保护的内容活动 117
4.5 云计算服务安全评估 118
4.5.1 《云计算服务安全指南》 119
4.5.2 《云计算服务安全能力要求》 121
4.5.3 云计算服务安全评估流程 122
4.5.4 云计算服务系统安全计划 123
4.6 数据安全保护 123
4.7 个人信息保护 125
4.8 政务行业网络安全要求 131
4.8.1 政务外网安全要求 132
4.8.2 政务云安全要求 135
4.8.3 《政务大数据安全风险评估实施指南》(立项) 136
4.8.4 《政务信息共享数据安全技术要求》 137
4.8.5 《政务计算机终端核心配置规范》 139
4.8.6 《电子政务移动办公系统安全技术规范》 140
第5 章 数字政府网络安全实施过程指南 142
5.1 过程描述 142
5.2 规划阶段 143
5.2.1 确定系统安全保护级别 143
5.2.2 安全方案设计 143
5.2.3 安全方案评审 145
5.3 建设阶段 145
5.3.1 产品采购和使用 145
5.3.2 源代码审计 146
5.3.3 安全监理 146
5.3.4 安全验收 146
5.3.5 上线前检测 146
5.4 运行阶段 147
5.4.1 安全运营(动态合规) 147
5.4.2 等级测评 151
5.4.3 密码应用安全性评估 151
5.4.4 云计算服务安全评估 151
5.4.5 风险评估 152
5.5 监督检查 153
5.5.1 定期自查 153
5.5.2 督导检查 153
5.5.3 监督检查 154
第6 章 数字政府网络安全合规要求整合和对照 155
6.1 物理和环境安全 157
6.2 通信网络安全 160
6.3 区域边界安全 163
6.4 计算环境安全 171
6.5 安全管理中心 182
6.6 网络安全制度 185
6.7 网络安全组织 190
6.8 安全管理人员 192
6.9 安全建设管理 195
6.10 安全运维管理 204
6.11 供应链安全 218
6.12 业务连续性 224
6.13 应急处置 226
6.14 密码管理 228
6.15 数据安全 231
6.16 个人信息安全 237
参考文献 238
附录A 名词解释 239
附录B 法律法规 241
附录C 标准 243
|
| 內容試閱:
|
习近平总书记在2018 年全国网络安全和信息化工作会议上强调,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。习近平总书记在党的二十大报告中指出,要“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”。具体落实到数字政府建设过程中,各相关单位及个人需要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然;需要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。
自《中华人民共和国网络安全法》施行五年以来,我国陆续出台了《中华人民共和国密码法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律法规,网络安全法律体系逐步形成。2021 年3 月11 日,十三届全国人大四次会议表决通过了《中华人民共和国国民经济和社会发展第十四个五年规划和2035 年远景目标纲要》,对网络安全工作提出了更高的要求:“健全国家网络安全法律法规和制度标准,加强重要领域数据资源、重要网络和信息系统安全保障。建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力。加强网络安全风险评估和审查。加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争力。加强网络安全宣传教育和人才培养。”2021 年8 月4 日,《中国共产党党内法规汇编》公开发行,其中收录了《党委(党组)网络安全工作责任制实施办法》,作为唯一收录的网络安全领域的党内法规,其对厘清网络安全责任、落实保障措施、推动网信事业发展产生了巨大影响。
近年来,我国各级政府加快数字政府的建设,包括互联网 政务服务、智慧城市、城市大脑、一网通办、一网通管等,政务信息系统作为政务信息化、数字化工作的基础设施和载体,是数字政府的重要支撑,其安全保障工作尤为重要,数字政府网络安全合规工作围绕着政务行业和领域的网络安全要求、政务部门网络安全责任、政务信息系统安全防护技术要求三个主要方面开展。2019 年12 月,国务院办公厅出台《国家政务信息化项目建设管理办法》,提出“项目建设单位应当按照《中华人民共和国网络安全法》等法律法规以及党政机关安全管理等有关规定,建立网络安全管理制度,采取技术措施,加强政务信息系统与信息资源的安全保密设施建设,定期开展网络安全检测与风险评估,保障信息系统安全稳定运行”。
2022 年6 月,国务院印发的《关于加强数字政府建设的指导意见》进一步强调要全面强化数字政府安全管理责任,落实安全管理制度,提升安全保障能力,提高自主可控水平,加快关键核心技术攻关,加强关键信息基础设施安全保障,强化安全防护技术应用,切实筑牢数字政府建设安全防线,要带头践行网络安全法律法规的合规性要求。
2022 年10 月,国务院办公厅发布了《全国一体化政务大数据体系建设指南》,提出政务数据安全保障能力亟须强化,建立完善与政务数据安全配套的制度,明确数据分类分级、安全审查等具体制度和要求。明确数据安全主体责任,按照“谁管理、谁负责”和“谁使用、谁负责”的原则,厘清数据流转全流程中各方权利义务和法律责任;运用安全可靠技术和产品,推进政务数据安全体系规范化建设,完善数据安全防护和监测手段;完善数据安全运维运营保障机制,建立健全事前管审批、事中全留痕、事后可追溯的数据安全运行监管机制,形成制度规范、技术防护和运行管理三位一体的全国一体化政务大数据安全保障体系。
在电子政务向数字政府发展的关键时期,可以预期的是做好政务网络安全保障是一项长期且重要的基础性工作。当前政务信息系统仍面临着持续不断的安全风险。
近年来,在网络安全监管部门的指导下,相关部门定期开展大型的网络安全实战演习。在历次演习过程中,政务行业均是重要参与方。从演习效果来看,政务行业在安全技术防护、重要信息防护、供应链安全、数据安全和云平台安全等方面均存在安全风险。对风险进行分析可以得出,政务领域网络安全合规性方面存在严重不足。例如,落实等级保护和密码应用等要求偏重于要求条款的实现,动态防护和抗攻击能力存在不足;重建设轻运营,中央、省、市、县政务部门安全合规水平逐渐降低;数据生命周期安全保护措施不到位;等等。国家网络安全监管部门结合实际工作经验,给出了比较科学的保护工作措施要求和建议,分别从保护重点、防范技术、减小攻击面和补齐下属单位短板等方面给出了具体的指导。综上,在数字政府建设方面亟须一部能够全面梳理合规性要求、高效解决以上突出问题、快速提升动态合规能力,并满足监管部门工作要求的参考指南,本书正是基于上述目标编写的。
本书将数字政府网络安全合规性拆分为政务行业和领域的网络安全要求、政务部门网络安全责任、政务信息系统安全防护技术要求三个方面,分别从工作角度、技术角度对“4 法 4 条例 7 办法意见 7 类标准”进行梳理、整合,较为系统全面地归纳总结了网络安全合规工作的各项要求,同时紧贴数字政府建设安全需求。全书分为工作合规指引和技术合规指引两部分:第一部分主要面向数字政府相关的责任和主管部门;第二部分主要面向数字政府相关的运营和技术部门,政务信息系统作为数字政府建设的基础设施和载体,网络安全合规标准的各项要求条款主要以政务信息系统为对象进行落实。其中,第二部分提出了“7 1”的合规技术框架,是本指引的核心内容。7 是指合规的7 个方向—等级保护、商用密码应用安全性评估、关键信息基础设施保护、云计算服务安全评估、数据安全保护、个人信息保护、政务网络安全保障,1 是指动态合规。
本书对政务部门在非涉密国家政务信息系统的规划、建设和运行阶段规范开展网络安全工作具有指导和参考意义。各级地方政务信息化项目建设单位和使用单位也可参照本书开展相关工作。本书中任何与当前或后续发布的法律法规、网络安全国家标准和行业标准不一致之处,以相关法律法规、国家标准和行业标准为准。必要时本书将根据最新的制度规范、管理要求和相关技术标准进行更新。
本书起草单位:国家信息中心、江西省信息中心、安徽省经济信息中心、浙江省经济信息中心、浪潮云信息技术股份公司、华为技术有限公司、新华三技术有限公司、深信服科技股份有限公司、北京海泰方圆科技股份有限公司、紫光云技术有限公司、京东科技信息技术有限公司等。
本书主要起草人:禄凯、章恒、李万仓、任金强、陈永刚、萨日娜、商雨阳、赵睿斌、赵帅、尚庆军、杜军龙、周剑涛、武海龙、程寅、揭建成、卢任妍、左鹏、贺进、饶飞、李加赞、马烨、邵萌、赵光琦、孙桂林、刘博、刁利杰、吴坤生、李虎、田强、柳晶、王学进、王少华、王绪文、张志宇、胡甜等。
|
|
購物車/收銀台(
0
) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
