前言

近些年来，全球范围内网络安全事件频发，现实的挑战日益严峻。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。网络安全作为国家安全的重要组成部分，已经受到党和国家以及社会各界的高度重视。从2017年6月1日起《中华人民共和国网络安全法》施行以来，《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《党委（党组）网络安全工作责任制实施办法》《中央企业负责人经营业绩考核办法》等法律法规和条例要求陆续颁布施行。

从2018年开始，贯彻落实以上网络安全法律法规和条例要求的一系列网络安全标准也相继发布。其中，《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）和《信息安全技术 网络安全等级保护测评要求》（GB/T 28448—2019）形成了国家网络安全等级保护2.0标准体系的核心，成为促进和支撑政府部门和各行各业有效开展网络安全等级保护定级、测评、整改和持续提升网络安全保障能力的基础标准，成为贯彻落实“网络安全三同步”“提升网络系统本体安全水平”“构建常态化实战化网络安全综合防御体系”的工作依据。当前，无论是政府各部门，还是企事业各单位，无论是“一把手”“分管领导”“网络安全部门负责人”“网络安全从业人员”，还是“单位内部IT用户”“数字化产品和网络安全产品的研发者、供应商和服务商”“网络安全咨询和技术服务的专业机构”，面对日新月异的新技术应用和新安全挑战，如何站在国家安全、社会安全、企业安全和人民利益安全的高度，全面掌握和有效应用等级保护2.0系列标准及重要行业或新技术领域中的有效实践，尽到“谁主管谁负责、谁建设谁负责、谁供货谁负责、谁使用谁负责”的网络安全防护责任和义务，构建各司其职、有效协同的网络安全生态，已经变得十分必要和重要。

在长期的网络安全管理和工作实践中，笔者深切感受到“依法治网”“依标强网”和落实“网络安全三同步”原则以及“三化六防”措施的必要性和紧迫性。当前，“网络安全领导力不足、网络安全管理体系不完善、技术体系和措施执行不到位、重技术轻管理、重投产后修补加固轻本体安全源头设计、重当前头痛医头轻持续能力提升、重数字化建设轻网络安全建设和常态化监测运营”等，已经成为“持续守住打赢”的共性顽症。笔者借鉴国际核能领域开展核安全同行评估的最佳实践，结合网络安全工作的特点和规律，这些年一直坚持在实战中学习磨炼，不断探索总结，提出了网络安全同行评估的工作体系、标准、流程、工具和方法，并作为评估队的领队或队长，完成了多次评估实战，获得了受评方以及业界专家的充分肯定。其中，最核心的实战成果就是基于业绩目标导向的网络安全评估标准及其使用指引。

基于业绩目标导向的网络安全评估标准，应该明确网络安全领域所追求的管理绩效目标，符合国家法律法规和条例要求，满足网络安全核心技术标准，融合领先行业最佳管理实践，具有权威性、专业性和易用性。本书以总体国家安全观为根本遵循，以贯彻落实《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规为基本要求，以《关键信息基础设施安全保护条例》和行业主管部门相关指导意见为基本指引，针对网络安全领域存在的共性顽症，提出了网络安全领导力、网络安全分级业绩目标与责任制、从“止于合规”到“持续守住打赢”的网络安全工作目标及实战化驱动的网络安全能力评估等新理念、新方法和新措施。以《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）第四级基本要求为主体架构，集成应用《信息安全技术 网络安全等级保护测评要求》《信息安全技术 信息系统密码应用基本要求》《信息安全技术 网络安全等级保护大数据基本要求》和相关高风险判定指引，充分融合国内金融、电力和广电等行业及大数据、密码应用测评等专业在网络安全领域的领先实践，面向领导者、管理者、技术从业者、用户、产品研发和技术支持专业机构的责任与能力要求，进行了全面梳理、系统设计和归类编排，构建权威、专业、有效且易于使用的网络安全评估标准体系。

本书内容框架

笔者发自内心地期望本书的探索、实践和总结，能够为政府各部门和企事业单位的网络安全与数字化转型工作领导者、管理者和网络安全技术从业者，各行业协会学会、咨询公司和专业机构从事网络安全规划、咨询、测评、评估等相关从业者，高等院校网络空间安全专业的教师、研究生和本专科学生，以及其他涉及或关注网络安全工作的所有同行者，提供一套更系统地认识、更有效地评估和更从容地应对网络安全挑战的思维方式、业绩目标、评估准则和使用指引。由于作者水平有限，恳请各位同行积极反馈您的宝贵意见，以便再版时充实补正，在此深表感谢。

邹来龙

2022年5月于上海