網(wǎng)絡(luò)安全等級保護2.0與企業(yè)合規(guī)
定 價:109 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
- 作者:李尤
- 出版時間:2023/11/1
- ISBN:9787111736097
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:TP393.08
- 頁碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
本書圍繞網(wǎng)絡(luò)安全等級保護(簡稱“等!保2.0以及企業(yè)合規(guī)建設(shè)的相關(guān)內(nèi)容展開介紹,重點對等保2.0以及企業(yè)合規(guī)建設(shè)在近些年的新定義、新形勢和新內(nèi)容進行逐一剖析。其中,包括對等保和企業(yè)合規(guī)的內(nèi)容范圍、工作流程、工作方法、政策與法律法規(guī)依據(jù)、技術(shù)標準等內(nèi)容的全面解讀,對網(wǎng)絡(luò)安全等級保護定級備案、安全建設(shè)整改、等級測評、監(jiān)督檢查等工作的詳細解釋。同時,列舉了網(wǎng)絡(luò)安全等級保護的流程表格,以及相關(guān)等級保護過程實例,幫助讀者更好地理解理論與實踐相結(jié)合的要點。
本書適合網(wǎng)絡(luò)安全的初級從業(yè)人員,尤其是迫切需要了解新等保流程和實操細節(jié)的等保從業(yè)人員閱讀,還適合對網(wǎng)絡(luò)安全感興趣以及想要了解等保合規(guī)的企事業(yè)單位管理者和技術(shù)愛好者閱讀。本書也可以為網(wǎng)絡(luò)運維管理人員開展安全運維和自查等工作提供幫助。
1. 網(wǎng)絡(luò)安全與數(shù)據(jù)安全領(lǐng)域資深技術(shù)專家,結(jié)合多年安全實戰(zhàn)經(jīng)驗,幫助讀者從內(nèi)容范圍,流程,工作方法,法律法規(guī),技術(shù)標準等全方位的角度透徹的了解新的網(wǎng)絡(luò)安全等級保護及企業(yè)合規(guī)建設(shè)要求。
2. 贈送大量等保測評表格模版供讀者使用。
2023年,國家對網(wǎng)絡(luò)安全的重視度持續(xù)提高,網(wǎng)絡(luò)安全核心以及相關(guān)政策相繼出臺,網(wǎng)絡(luò)安全的話題熱度在社會、職場,甚至高校內(nèi)均持續(xù)升高。近些年,各個網(wǎng)絡(luò)安全公司如同“雨后春筍”一樣冒出來,各個企業(yè)單位的網(wǎng)絡(luò)安全人才一將難求,缺口一度高達 90%以上。
網(wǎng)絡(luò)安全等級保護(簡稱“等!保┑闹贫群蛯嵤┦蔷W(wǎng)絡(luò)安全防護的重中之重。早在2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》實施,該法明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度,從法律上確立了網(wǎng)絡(luò)安全等級保護制度是我國網(wǎng)絡(luò)安全領(lǐng)域中的基礎(chǔ)制度。2019年5月,國家標準化管理委員會正式發(fā)布了(GB/T 22239—2019)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》,進一步要求等保測評工作者要圍繞核心標準要求開展安全建設(shè)整改和等級測評。標準的實施標志著網(wǎng)絡(luò)安全等級保護正式進入2.0時代。等保進入2.0時代以后,近些年等保的實施要求并沒有針對固有標準“一成不變、死搬硬套”, 而是適時地根據(jù)我國網(wǎng)絡(luò)安全發(fā)展特點以及持續(xù)更新的安全隱患威脅,不斷地調(diào)整和更新等保實施細則標準和要求的文檔模板。
本書內(nèi)容
本書主要介紹等保2.0制度流程和企業(yè)合規(guī)的各方面基礎(chǔ)理論知識以及操作流程,并且集成了2023年等保2.0要求的新文檔模板和要求,通過等級保護的相關(guān)實操實例幫助企業(yè)梳理其在網(wǎng)絡(luò)安全等級保護合規(guī)認證過程中的痛點,并逐一分析、列出整改項指南,兼具理論性和實用性。
本書分為6章,主要內(nèi)容如下。
第1章主要介紹了網(wǎng)絡(luò)安全等級保護制度的概念、發(fā)展歷程、等級保護與網(wǎng)絡(luò)安全合規(guī)之間的關(guān)聯(lián)、等級保護與分級保護(簡稱“分!保┑膮^(qū)別、等保2.0的新標準和要求,以及等級保護測評新流程等內(nèi)容。
第2章主要介紹了網(wǎng)絡(luò)信息安全法律法規(guī)及標準規(guī)范,分別介紹了網(wǎng)絡(luò)安全等級保護和數(shù)據(jù)安全合規(guī)的法律法規(guī)的引用,以及運行維護和其他標準的引用等內(nèi)容。
第3章詳細地介紹了在新的等級保護制度要求下,等保2.0進行前期的表格信息登記和技術(shù)信息收集的準備情況,介紹了安全設(shè)計要求和差距分析工作要點,為后續(xù)的等保測評和安全整改工作提供了重要的參考依據(jù)。
第4章主要介紹了在等級保護2.0新標準下的評估定級規(guī)范工作要求,以及定級與備案信息規(guī)范。
第5章主要介紹了網(wǎng)絡(luò)安全等級保護的執(zhí)行測評的全流程要求,包括等保2.0流程、項目內(nèi)容、項目測評對象和方法、項目實施管理方案和項目質(zhì)量控制措施要求、測評問題總結(jié)和成果物交付,以及企業(yè)合規(guī)檢查的執(zhí)行標準與規(guī)范要求等內(nèi)容。
第6章列舉了網(wǎng)絡(luò)安全等級保護的實操案例,為讀者展示了一個新標準化的等保2.0的全過程實施方案與全量化成果。
本書特色
本書基于網(wǎng)絡(luò)安全等級保護2023年的新標準,結(jié)合等級測評工作實踐,對網(wǎng)絡(luò)安全等級測評基本要求、擴展要求進行逐條分析,并對新等保項目實例展開詳細介紹。本書適合網(wǎng)絡(luò)安全的初級從業(yè)人員,尤其是迫切需要了解2023年新等保2.0的流程和實操細節(jié)的等保從業(yè)人員閱讀學(xué)習(xí),也適合對網(wǎng)絡(luò)安全感興趣及想要了解等保合規(guī)的企事業(yè)單位管理者和技術(shù)愛好者閱讀,還可以為網(wǎng)絡(luò)運營單位的運維管理人員開展本單位安全運維和安全自查等工作提供幫助。
關(guān)于作者
本書作者李尤為網(wǎng)絡(luò)安全領(lǐng)域資深人士,目前在中國電子信息產(chǎn)業(yè)發(fā)展研究院中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進中心)網(wǎng)絡(luò)安全和數(shù)據(jù)安全研究測評事業(yè)部擔(dān)任技術(shù)副總師職務(wù),是網(wǎng)絡(luò)安全與數(shù)據(jù)安全質(zhì)量測試領(lǐng)域技術(shù)專家,6Sigma國際質(zhì)量安全綠帶認證證書持有者,有多個網(wǎng)絡(luò)安全和數(shù)據(jù)安全團隊的管理經(jīng)驗。
為配合新形勢、新標準下網(wǎng)絡(luò)安全等級保護制度2.0和企業(yè)安全合規(guī)的具體實施,作者編寫了本書,供讀者參考和借鑒。由于水平所限,書中難免有不足之處,敬請讀者批評指正。在本書的編寫過程中,感謝機械工業(yè)出版社張淑謙編輯給予的大力支持與協(xié)助,
同時感謝機械工業(yè)出版社“網(wǎng)絡(luò)空間安全技術(shù)叢書”專家委員會,以及作者工作單位
的領(lǐng)導(dǎo)唐剛、朱信銘、劉喜喜和其他領(lǐng)導(dǎo)同事們的支持與幫助。
中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進中心)李尤
李尤 ,男,英國中央蘭開夏大學(xué)(Univer-sity of Central Lancashire)碩士學(xué)位,網(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域資深人士,目前在中國電子信息產(chǎn)業(yè)發(fā)展研究院中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進中心)網(wǎng)絡(luò)安全和數(shù)據(jù)安全研究測評事業(yè)部任技術(shù)副總師職位。網(wǎng)絡(luò)安全與數(shù)據(jù)安全質(zhì)量測試領(lǐng)域技術(shù)專家,6Sigma國際質(zhì)量安全綠帶認證證書持有者,二十年互聯(lián)網(wǎng)安全與技術(shù)的相關(guān)工作經(jīng)驗,有多個網(wǎng)絡(luò)安全和數(shù)據(jù)安全團隊的成功管理經(jīng)驗,擅長網(wǎng)絡(luò)安全等級保護與數(shù)據(jù)安全領(lǐng)域的研究工作
出版說明
前言
第1章 網(wǎng)絡(luò)安全等級保護(等保2.0)介紹/
1.1 什么是等級保護制度/
1.1.1 網(wǎng)絡(luò)安全等級保護發(fā)展歷程/
1.1.2 為什么要做等級保護/
1.1.3 做等保2.0對企業(yè)的影響/
1.1.4 企業(yè)網(wǎng)絡(luò)安全合規(guī)介紹/
1.2 等級保護與分級保護的區(qū)別/
1.2.1 等級保護的特點/
1.2.2 分級保護的特點/
1.2.3 兩者之間的關(guān)聯(lián)與區(qū)別/
1.3 等級保護2.0的新標準/
1.3.1 名稱和法律上的變化/
1.3.2 定級要求的變化/
1.3.3 擴展保護對象/
1.3.4 等保2.0整體內(nèi)容上的變化/
1.3.5 等保2.0云計算擴展合規(guī)要求分析/
1.3.6 等保2.0移動互聯(lián)擴展合規(guī)要求分析/
1.3.7 等保2.0物聯(lián)網(wǎng)擴展合規(guī)要求分析/
1.3.8 工控擴展要求分析/
1.4 等級保護2.0的測評流程/
1.4.1 定級與備案/
1.4.2 整改建設(shè)/
第2章 信息安全法律法規(guī)及標準規(guī)范/
2.1 網(wǎng)絡(luò)安全法律政策體系/
2.2 等級保護2.0標準體系/
2.3 運行維護及其他標準/
2.3.1 關(guān)鍵信息基礎(chǔ)設(shè)施保護標準體系/
2.3.2 密碼應(yīng)用安全標準體系/
第3章 等級保護2.0準備階段/
3.1 網(wǎng)絡(luò)安全等級保護對象基本情況調(diào)查/
3.1.1 單位基本信息表/
3.1.2 等級保護對象基本情況/
3.1.3 拓撲圖及網(wǎng)絡(luò)描述/
3.1.4 系統(tǒng)構(gòu)成/
3.1.5 新技術(shù)、新應(yīng)用的調(diào)查信息/
3.1.6 等保2.0登記和配置/
3.1.7 風(fēng)險告知書和現(xiàn)場測評授權(quán)書/
3.2 通用安全設(shè)計/
3.2.1 物理環(huán)境設(shè)計要求/
3.2.2 安全通信網(wǎng)絡(luò)設(shè)計要求/
3.2.3 安全區(qū)域邊界設(shè)計要求/
3.2.4 安全計算環(huán)境設(shè)計要求/
3.2.5 安全管理中心設(shè)計要求/
3.2.6 安全管理制度設(shè)計要求/
3.2.7 安全管理機構(gòu)設(shè)計要求/
3.2.8 安全管理人員設(shè)計要求/
3.2.9 安全建設(shè)管理設(shè)計要求/
3.2.10 安全運維管理設(shè)計要求/
3.3 擴展安全設(shè)計/
3.3.1 安全物理環(huán)境針對擴展項的設(shè)計要求/
3.3.2 安全通信網(wǎng)絡(luò)針對擴展項的設(shè)計要求/
3.3.3 安全區(qū)域邊界針對擴展項的設(shè)計要求/
3.3.4 安全計算環(huán)境針對擴展項的設(shè)計要求/
3.3.5 安全管理中心針對擴展項的設(shè)計要求/
3.3.6 安全建設(shè)管理針對擴展項的設(shè)計要求/
3.3.7 安全運維管理針對擴展項的設(shè)計要求/
3.4 等保2.0建設(shè)咨詢與差距分析/
3.4.1 安全技術(shù)層面差距分析/
3.4.2 安全管理層面差距分析/
3.4.3 安全運維評估及加固/
第4章 等級保護2.0定級與備案/
4.1 等級保護2.0評估定級/
4.1.1 定級范圍和定級原理/
4.1.2 定級方法/
4.2 定級要素和流程/
4.2.1 對客體的侵害程度/
4.2.2 定級流程/
4.2.3 基礎(chǔ)信息網(wǎng)絡(luò)和各個系統(tǒng)確定定級對象/
4.3 初步確定安全保護等級/
4.3.1 定級方法概述/
4.3.2 確定受侵害的客體和侵害程度/
4.3.3 確定安全保護等級/
4.3.4 等級評審、審核和變更/
4.4 網(wǎng)絡(luò)安全等級保護備案表/
4.4.1 單位備案信息表/
4.4.2 信息系統(tǒng)情況表(安全通用要求指標表)/
4.4.3 信息系統(tǒng)定級結(jié)果表/
4.4.4 第三級以上信息系統(tǒng)提交材料情況表/
4.4.5 網(wǎng)絡(luò)安全等級保護定級報告/
第5章 網(wǎng)絡(luò)安全等級保護2.0與企業(yè)合規(guī)執(zhí)行標準及規(guī)范/
5.1 測評流程介紹/
5.1.1 測評目標/
5.1.2 測評范圍/
5.1.3 測評依據(jù)/
5.1.4 測評流程和時間安排/
5.2 等保合規(guī)項目內(nèi)容/
5.2.1 定級與備案/
5.2.2 差距分析工作/
5.2.3 等級測評工作/
5.2.4 網(wǎng)絡(luò)安全等級保護2.0第一級安全要求/
5.2.5 網(wǎng)絡(luò)安全等級保護2.0第二級安全要求/
5.2.6 網(wǎng)絡(luò)安全等級保護2.0第三級安全要求/
5.2.7 網(wǎng)絡(luò)安全等級保護2.0第四級安全要求/
5.2.8 交付物列表/
5.2.9 等保2.0項目合同模板/
5.3 項 目測評對象和方法/
5.3.1測評對象選擇方法/
5.3.2 項目測評方法/
5.3.3 風(fēng)險分析方法/
5.3.4 檢查/
5.3.5 滲透測試與漏洞掃描測試/
5.3.6 測評內(nèi)容與實施/
5.4 項目實施管理方案/
5.4.1 項目組織與實施/
5.4.2 配合需求/
5.4.3 人員監(jiān)督記錄表/
5.5 項目質(zhì)量控制措施/
5.5.1 過程質(zhì)量控制管理/
5.5.2 變更控制管理/
5.5.3 文檔管理/
5.5.4 項目風(fēng)險管理/
5.5.5 關(guān)鍵/重點問題解決方案/
5.5.6 測評配合協(xié)作/
5.5.7 測試設(shè)備申領(lǐng)/歸還記錄表/
5.5.8 檔案移交單/
5.5.9 過程質(zhì)量監(jiān)督記錄表/
5.6 測評問題總結(jié)和成果物交付/
5.6.1 成果物驗收與交付計劃/
5.6.2 驗收問題報告表/
5.6.3 成果物交付/