数字政府网络安全合规性指引

本书主要面向具备信息 系统和网络安全基础知识， 希望对我国网络安全法律法 规和标准的体系进行系统深 入学习的人员。本书将数字 政府网络安全合规性拆分为 政务行业和领域的网络安全 要求、政务部门网络安全责 任、政务信息系统安全防护 技术要求三个方面，分别从 工作角度和技术角度对网络 安全领域“4法＋4条例＋7办 法意见＋7类标准”进行梳理 、整合，较为系统全面地归 纳总结了网络安全合规工作 的各项要求，同时紧贴数字 政府建设安全需求，对相关 单位在非涉密信息系统的规 划、建设和运行阶段规范开 展网络安全工作具有指导和 参考意义。 本书共6章，前3章是工 作合规指引，后3章是技术 合规指引。第1章主要介绍 我国网络安全法律法规体系 ，分析政务行业网络安全合 规工作主要依据。第2章主 要介绍网络安全法律法规， 以及政务主管部门发布的规 定和办法中网络安全主要相 关内容。第3章在前两章的 基础上，系统梳理了政务部 门的工作角色、应承担的网 络安全责任和义务以及在信 息系统规划、建设和运行等 阶段，网络安全主要工作重 点和步骤。第4章系统地讲 解了7项网络安全工作对应 的7大类网络安全标准。第5 章系统地描述了在规划、建 设和运行阶段，网络安全7 项工作应如何按照标准实施 。第6章是本书的重点，旨 在解决实施过程中可能由于 条款理解偏差带来的低效率 、重复建设等问题，本章将 相关条款整合到统一框架体 系中，便于读者查阅、对照 ，从而在实际工作中做到一 次工作多项合规。

\" 禄凯，国家信息中心信息与网络安全部副主任。多年从事网络安全领域研究工作，注重技术理论与实线结合。参与完成国家“信息安全风险管理”“网络安全等级保护”“网络安全监测预警”等多项国家标准，参与多项国家网络安全防护工程建设工作，组织完成多项国家网络安全专项研究和产业化建设项目。组织政务及相关领域网络安全专业培训工作，培养了大批专业技术人才。 章恒，国家信息中心电子政务信息安全等级保护测评中心高级工程师， 国信北大网络空间安全实验室主任；多年从事网络安全领域研究工作，主要研究方向为自组织网络、移动通信系统、云计算安全、数据安全、移动应用安全等；国家网络安全等级保护标准云计算部分主要编制人；主持或参与过多项国家、省部级重大专项课题的研究工作；在国内外发表多篇学术论文，获得国际国内发明专利多项。 李万仓 ，国家信息中心电子政务信息安全等级保护测评中心高级工程师，国信北大网络空间安全实验室副主任；多年从事网络安全领域研究工作，主要研究方向为密码算法安全、云计算安全和数据安全等；主持或参与多个政务重要信息系统和超大型互联网平台的安全咨询和评估工作；参与信息安全风险评估方法等国家标准的编制，在国内发表多篇学术论文。\"

第一部分 工作合规指引 第1章 数字政府网络安全合规概述 1.1 网络安全政策法律法规介绍 1.1.1 党中央高度重视网络安全工作 1.1.2 《网络安全法》确立了网络安全领域的基本制度 1.1.3 《数据安全法》和《个人信息保护法》完善和发展了法律规范体系 1.1.4 《密码法》通过促进密码应用保障网络与信息安全 1.2 数字政府网络安全合规的主要依据 1.2.1 网络安全法律法规给出了合规工作的上位要求 1.2.2 政务主管部门办法和意见指明合规工作的推进方向 1.2.3 网络安全突出问题暴露了合规工作的薄弱环节 1.2.4 网络安全监管部门的措施建议提供了合规工作的方法 1.3 政务部门网络安全管理和工作主要责任 1.3.1 党委（党组）网络安全责任 1.3.2 网络运营者主体责任 1.3.3 政务数据资源管理和保护责任 第2章 数字政府网络安全合规要求 2.1 《网络安全法》 2.1.1 主要内容 2.1.2 政务主要相关要求 2.2 《密码法》 2.2.1 主要内容 2.2.2 政务主要相关要求 2.3 《数据安全法》 2.3.1 主要内容 2.3.2 政务主要相关要求 2.4 《个人信息保护法》 2.4.1 主要内容 2.4.2 政务主要相关要求 2.5 《国家政务信息化项目建设管理办法》 2.5.1 落实网络安全等级保护规定 2.5.2 密码应用“三同步、一评估” 2.5.3 安全验收 2.5.4 构建全方位、多层次、一致性的防护体系 2.6 《关键信息基础设施安全保护条例》 2.6.1 关键信息基础设施的认定 2.6.2 关键信息基础设施运营者的职责 2.6.3 关键信息基础设施行业保护部门的职责 2.7 《网络安全等级保护条例（征求意见稿）》 2.8 《商用密码管理条例》 2.9 《网络数据安全管理条例（征求意见稿）》 2.10 《网络安全审查办法》 2.10.1 网络安全审查的客体和原则 2.10.2 网络安全审查的重点对象 2.10.3 网络平台运营者赴国外上市须强制性审查 2.11 《数据出境安全评估办法》 2.11.1 境外数据安全评估原则 2.11.2 数据出境安全评估情形与要求 2.12 《云计算服务安全评估办法》 2.12.1 云计算服务安全评估依据