本书在系统归纳国内外信息安全管理与风险评估、网络安全等级保护的知识与实践以及近年来研究成果的基础上，全面介绍了信息安全管理模型、信息安全管理体系、信息安全风险评估、网络安全等级保护、网络安全等级测评的基本知识、国内外相关标准和各项内容，全书涵盖了信息安全管理体系建立流程、风险评估实施流程、网络安全等级保护实施流程、以及信息安全管理控制措施与网络安全等级保护安全通用要求及扩展要求、IT治理等内容。

赵刚，工学博士、教授，北京信息科技大学信息管理学院“信息安全专业”教师、“网络空间安全学科”及“管理科学与工程学科”硕士生导师。1996年至2000年留学日本，在大阪市立大学攻读人工智能研究方向博士研究生，于2000年取得工学博士学位。近年来主要从事人工智能、机器学习、信息安全管理、信息安全风险评估、信息系统安全，网络安全等级保护等领域的研究和教学工作。

前言 信息化已融入人类社会的每一个角落，不断推动着社会的进步和发展。然而，无处不在的信息伴随着随时可能发生的风险，信息安全事件时有发生，信息安全问题已成为全社会共同关注的问题，信息系统的安全、管理、风险与控制 问题日益突出。信息安全研究所涉及的领域相当广泛，信息安全的建设是一个系统工程。在信息安全的建设中，正确的做法是遵循国内外相关信息安全标准与最佳实践，考虑组织对信息安全各个层面的需求，在风险评估的基础上引入合理的控制措施，建立信息安全管理体系以保证信息的安全属性。绝大多数信息安全问题都来自管理方面的缺陷，信息安全管理是十分重要的课题，在解决信息安全问题中占重要地位，其发展对信息安全人才的培养提出了更高的要求。风险评估是信息安全管理体系和信息安全风险管理的基础，是建立信息安全保障体系的必要前提，通过风险评估能够将信息安全活动的重点放在重要的问题上。网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，建立并落实网络安全等级保护制度是形势所迫、国情所需。 1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”2014年，中央网络安全与信息化领导小组第一次会议指出： “没有网络安全就没有国家安全。”2016年10月，公安部网络安全保卫局对原有国家标准《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239—2008）等系列标准进行修订。2016年11月7日，我国发布了《中华人民共和国网络安全法》...