第1章 网络安全与信息安全等级保护制度概述 1
1.1我国网络安全面临的形势 1
1.1.1我国网络安全发展面临的重大机遇 1
1.1.2我国网络安全面临的威胁、风险和挑战 4
1.1.3我国网络安全存在的突出问题 9
1.1.4美、俄、日、英等国的经验和做法值得借鉴 13
1.2我国网络安全工作的指导思想和主要任务 16
1.2.1我国网络安全工作的基本遵循 16
1.2.2网络安全的基本属性 17
1.2.3我国网络安全工作的确立 18
1.2.4网络安全工作的主要内容 23
1.2.5保障网络安全的主要措施 26
1.2.6抗战胜利70周年纪念活动网络安保带给我们的启示 29
1.2.7重要行业应重点加强的网络安全工作 32
1.3信息安全等级保护的基本含义 33
1.3.1开展信息安全等级保护工作的法律依据 33
1.3.2开展信息安全等级保护工作的政策依据 34
1.3.3什么是信息安全等级保护 36
1.3.4贯彻落实信息安全等级保护制度的原则 38
1.3.5信息系统安全保护等级的划分与监管 39
1.4实行信息安全等级保护制度的必要性和紧迫性 40
1.4.1为什么要强制实行信息安全等级保护制度 40
1.4.2实施等级保护制度是落实习近平总书记指示的必然要求 41
1.4.3实施信息安全等级保护制度能解决什么问题 42
1.4.4信息安全等级保护制度与关键信息基础设施的关系 43
1.4.5国外实施等级保护策略的经验和做法 46
1.5信息安全等级保护制度的主要内容 50
1.5.1等级保护工作中有关部门的责任和义务 50
1.5.2等级保护工作的主要环节和基本要求 51
1.6健全完善信息安全等级保护制度的工作思路和措施 52
1.6.1健全完善信息安全等级保护制度的重要性 52
1.6.2健全完善等级保护制度的基本思路 53
1.6.3健全完善等级保护制度的主要内容和任务 54
1.7实施等级保护制度开展的工作情况 56
1.7.1基础调查 56
1.7.2等级保护试点工作 56
1.7.3组织开展信息系统定级备案工作 57
1.7.4组织开展等级测评体系建设和测评工作 57
1.7.5组织开展等级保护安全建设整改工作 57
1.7.6组织开展等级保护执法检查工作 58
1.7.7信息安全等级保护工作协调(领导)机构和专家组建设 58
1.7.8信息安全等级保护工作取得的主要成效 59
第2章 信息安全等级保护政策体系和标准体系 62
2.1信息安全等级保护政策体系 62
2.1.1总体方面的政策文件 62
2.1.2具体环节的政策文件 64
2.2信息安全等级保护标准体系 66
2.2.1信息安全等级保护相关标准类别 67
2.2.2相关标准与等级保护各工作环节的关系 70
2.2.3在应用有关标准中需要注意的几个问题 74
2.2.4信息安全等级保护主要标准简要说明 74
第3章 信息系统定级与备案工作 97
3.1信息系统安全保护等级的划分与保护 97
3.1.1信息系统定级工作原则 97
3.1.2信息系统安全保护等级 98
3.1.3信息系统安全保护等级的定级要素 98
3.1.4五级保护和监管 99
3.2定级工作的主要步骤 99
3.2.1开展摸底调查 100
3.2.2确定定级对象 100
3.2.3初步确定信息系统安全保护等级 101
3.2.4信息系统安全保护等级专家评审 102
3.2.5信息系统安全保护等级的审批 102
3.2.6公安机关审核信息系统安全保护等级 103
3.3如何确定信息系统安全保护等级 103
3.3.1如何理解信息系统的5个安全保护等级 103
3.3.2信息系统定级的一般流程 104
3.4信息系统备案工作的内容和要求 109
3.4.1信息系统备案与受理 109
3.4.2公安机关受理信息系统备案要求 110
3.4.3对信息系统定级不准及不备案情况的处理 111
3.4.4公安机关对信息系统定级备案工作的指导 112
第4章 信息安全等级保护安全建设整改工作 113
4.1工作目标和工作内容 113
4.1.1工作目标 113
4.1.2工作范围和工作特点 114
4.1.3工作内容 115
4.1.4信息系统安全保护能力目标 117
4.1.5《信息系统安全等级保护基本要求》的主要内容 119
4.2工作方法和工作流程 123
4.2.1工作方法 123
4.2.2工作流程 124
4.3安全管理制度建设 125
4.3.1落实信息安全责任制 126
4.3.2信息系统安全管理现状分析 127
4.3.3制定安全管理策略和制度 127
4.3.4落实安全管理措施 128
4.3.5安全自查与调整 131
4.4安全技术措施建设 131
4.4.1信息系统安全保护技术现状分析 131
4.4.2信息系统安全技术建设整改方案设计 133
4.4.3安全建设整改工程实施和管理 137
4.4.4信息系统安全建设整改方案要素 138
4.5网络安全防范的新策略和新技术 139
4.6信息安全产品的选择使用 141
4.6.1选择获得销售许可证的信息安全产品 141
4.6.2产品分等级检测和使用 141
4.6.3第三级以上信息系统使用信息安全产品的相关问题 141
第5章 信息安全等级保护测评工作 143
5.1等级测评工作概述 143
5.1.1等级测评的基本含义 143
5.1.2等级测评的目的 144
5.1.3开展等级测评的时机 144
5.1.4等级测评机构的业务范围 145
5.1.5等级测评依据的标准 146
5.1.6等级测评工作的开展 147
5.2等级测评机构及测评人员的管理与监督 149
5.2.1为什么要开展等级测评体系建设工作 149
5.2.2对测评机构和测评人员的管理 149
5.2.3等级测评机构应当具备的基本条件 150
5.2.4测评机构的业务范围和工作要求 151
5.2.5测评机构的禁止行为和整改事项 152
5.2.6测评机构的申请、受理、审核、推荐流程 153
5.2.7对测评机构的监督管理 154
5.3等级测评的工作流程和工作内容 155
5.3.1基本工作流程和工作方法 155
5.3.2收集系统信息 157
5.3.3编制测评方案 160
5.3.4现场测评 163
5.3.5判断测评结果 167
5.3.6编制测评报告 170
5.4等级测评工作中的风险控制 170
5.4.1存在的风险 170
5.4.2风险的规避 171
5.5等级测评报告的主要内容 172
5.5.1等级测评报告的构成 172
5.5.2等级测评报告的主要内容说明 172
第6章 网络安全自查和监督检查 175
6.1定期自查与督导检查 175
6.1.1备案单位的定期自查 175
6.1.2行业主管部门的督导检查 175
6.2公安机关的监督检查 176
6.2.1检查的原则和方法 176
6.2.2检查的主要内容 176
6.2.3检查整改要求 177
6.2.4检查工作要求 178
第7章 网络安全重点专项工作 179
7.1智慧城市网络安全管理 179
7.1.1加强智慧城市网络安全管理工作的主要依据 179
7.1.2智慧城市网络安全管理的总体要求 180
7.1.3智慧城市网络安全管理的重点工作 181
7.1.4智慧城市网络安全管理的保障措施 182
7.2重点网站安全专项整治 185
7.2.1开展网站安全专项整治的目的 185
7.2.2网站安全专项整治的指导思想和工作目标 186
7.2.3网站安全专项整治的工作任务和具体措施 186
7.2.4网站安全专项整治的工作要求 188
7.2.5公安机关在网站安全专项整治行动中的工作要求 189
附录A 关于信息安全等级保护工作的实施意见 193
附录B 信息安全等级保护管理办法 203
附录C 关于开展全国重要信息系统安全等级保护定级工作的通知 217
附录D 信息安全等级保护备案实施细则(试行) 232
附录E 公安机关信息安全等级保护检查工作规范(试行) 241
附录F 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 256
附录G 关于开展信息安全等级保护安全建设整改工作的指导意见 277
附录H 信息系统安全等级测评报告模版(2015年版) 282
附录I 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 336
附录J 信息安全等级保护测评机构管理办法 339
附录K 信息安全等级保护安全专家委员会专家名单 385
附录L 关于加强智慧城市网络安全管理工作的若干意见 387
附录M 关于印发《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》的通知 392
附录N 教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知 397