产品矩阵
EN
教师申领样书
水木书荟
计算机与电子信息图书综合服务平台
清华社英语在线
以个性化课程为中心,
支持全场景教学的智慧教学平台
文泉智造
智能制造方向教学、科研、
人才培养的一站式综合服务平台
智能制造知识服务平台
为智能制造领域提供一站式服务的
专业知识库和智能体
Sciopen
科技期刊国际化数字出版平台
水木书荟
计算机与电子信息图书综合服务平台
清华社英语在线
以个性化课程为中心,
支持全场景教学的智慧教学平台
文泉智造
智能制造方向教学、科研、
人才培养的一站式综合服务平台
智能制造知识服务平台
为智能制造领域提供一站式服务的
专业知识库和智能体
Sciopen
科技期刊国际化数字出版平台
产品矩阵EN

关于我们

董事长致辞 出版社简介 企业荣誉
人才招聘 联系我们

新闻资讯

党建风采 企业活动

服务支持

授权书查询 招标公告
首页 > 图书 > 图书前言

图书前言

前言

信息化已融入人类社会的每一个角落,不断推动着社会的进步和发展。然而,无处不在的信息伴随着随时可能发生的风险,信息安全事件时有发生,信息安全问题已成为全社会共同关注的问题,信息系统的安全、管理、风险与控制

问题日益突出。信息安全研究所涉及的领域相当广泛,信息安全的建设是一个系统工程。在信息安全的建设中,正确的做法是遵循国内外相关信息安全标准与最佳实践,考虑组织对信息安全各个层面的需求,在风险评估的基础上引入合理的控制措施,建立信息安全管理体系以保证信息的安全属性。绝大多数信息安全问题都来自管理方面的缺陷,信息安全管理是十分重要的课题,在解决信息安全问题中占重要地位,其发展对信息安全人才的培养提出了更高的要求。风险评估是信息安全管理体系和信息安全风险管理的基础,是建立信息安全保障体系的必要前提,通过风险评估能够将信息安全活动的重点放在重要的问题上。网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,建立并落实网络安全等级保护制度是形势所迫、国情所需。

1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”2014年,中央网络安全与信息化领导小组第一次会议指出: “没有网络安全就没有国家安全。”2016年10月,公安部网络安全保卫局对原有国家标准《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)等系列标准进行修订。2016年11月7日,我国发布了《中华人民共和国网络安全法》,这是确保我国网络安全的基本法律。2016年12月27日,国家互联网信息办公室和中央网络安全与信息化领导小组办公室联合发布了我国《国家网络空间安全战略》。2017年3月1日,外交部和国家互联网信息办公室共同发布了《国家网络空间国际合作战略》。2017年6月1日,《中华人民共和国网络安全法》正式实行,信息安全等级保护过渡到网络安全等级保护,法律明确要求国家实施等级保护制度。2017年10月18日,党的十九大报告中再次强调,加快建设创新型国家和网络强国,确保我国的网络空间安全。2018年3月21日,中央决定: 中央网络安全与信息化领导小组改组为中央网络安全与信息化委员会,负责相关领域重大工作的顶层设计、总体布局、统筹协调、整体推进、监督落实。2018年4月20日,

网络安全与信息化委员会工作会议指出: 要主动适应信息化要求,强化互联网思维,不断提高对互联网规律的把握能力、对网络舆论的引导能力、对信息化发展的驾驭能力、对网络安全的保障能力。2019年5月10日,随着《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)等标准的正式发布,标志着等级保护2.0全面启动。

本书依据信息安全管理体系最新标准及等级保护2.0最新相关标准,以适应教师教学与学生学习的组织方式,合理安排章节内容。本书旨在通过学习,使学生了解信息安全管理、信息安全风险评估的基本知识、相关标准,理解信息安全管理体系的建立过程以及风险评估的实施过程,理解网络安全等级保护相关知识和实施流程,进而在实际工作中进行应用,

给组织的具体实践提供理论指导,帮助组织建立合理的信息安全管理体系,帮助网络运营者、关键信息基础设施的运营者及相关组织和机构正确实施网络安全等级保护。

本书从信息安全、信息安全管理的基本概念和基本知识出发,全面、系统地介绍了信息安全管理体系、信息安全风险评估、网络安全等级保护、IT治理等内容。全书分为7章,第1章引论,着重介绍了信息、信息安全、信息安全管理等基本概念,进而引入信息安全管理体系及网络安全等级保护制度等方面的主要内容的概述; 第2章信息安全风险评估,着重讨论了风险要素关系、风险分析基本原理以及风险评估基本方法,进而详细阐述了风险评估各阶段的作业流程及其具体内容,同时分析了信息系统生命周期各阶段的风险评估,包括信息系统生命周期中规划阶段、设计阶段、实施阶段、运维阶段和废弃阶段中风险评估的工作内容; 第3章信息安全管理体系,在介绍建立信息安全管理体系6个基本工作步骤的基础上,深入细致地讨论了建立信息安全管理体系的工作流程、工作方式和工作内容,同时从信息安全管理体系认证概念出发,充分讨论了认证的目的、范围、认证机构

及认证过程等内容; 第4章网络安全等级保护,详细阐述了网络安全等级保护相关概念、网络安全等级保护基本要求以及网络安全等级保护实施流程等相关内容; 第5章信息安全管理控制措施与网络安全等级保护安全要求,充分论述了信息安全事件相关概念和信息安全事件管理方法,进而着重讨论了建立信息安全管理体系的控制措施以及网络安全等级保护的安全要求方面的详细内容; 第6章网络安全等级保护扩展要求,重点讨论了网络安全等级保护基本要求“1+X”体系框架下的云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求等方面的相关内容; 第7章IT治理概述,主要介绍了IT治理相关概念、基础内容,围绕国际上公认的IT治理相关标准,重点讨论了IT治理支持手段,包括COBIT、PRINCE2、ITIL、ISO/IEC 20000以及COSO发布的内部控制框架等。

全书结构合理,内容全面,概念清晰,深入浅出,知识实用性强,紧跟信息安全管理与风险评估、网络安全等级保护方面的研究以及IT应用的发展趋势,融入了最新的创新内容。

本书是作者长期从事理论研究和工程实践以及教学经验和成果的归纳总结,通过精心设计安排全书的结构和内容,以适应不同层次和不同专业读者的需求。书中汲取了大量国内外本领域代表文献的精华,参考了大量的国内外有关研究成果,在此,谨向书中提到和参考文献中列出的作者表示感谢。作者所指导的学生左冉、魏楠、程昕等参与了本书编写的相关工作,在此一并表示感谢。衷心感谢清华大学出版社的相关人员为本书出版付出的辛勤劳动。

信息技术在飞速发展,信息安全管理和风险评估、网络安全等级保护也在不断创新和发展,其理念、方法和技术等也在不断地完善和更新。书稿虽经多次修改,但由于作者水平有限,书中难免存在不妥之处,诚望使用本书的师生和读者不吝指教。

本书有配套的教学电子课件,可登录清华大学出版社网站(http://www.tup.com.cn)下载。

编者

2019年6月于北京