建立企業(yè)信息安全組織，依據(jù)信息安全崗位的不相容及權(quán)限最小化原則，落實崗位職責(zé)，建立信息安全考核機制。配合信息系統(tǒng)的建設(shè)和運行，加強對員工的信息安全教育和技能培訓(xùn)。

建立完善的企業(yè)信息安全技術(shù)體系，依據(jù)等級保護(hù)規(guī)定，建立以物理環(huán)境、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)備份等在內(nèi)的信息安全防護(hù)措施。建設(shè)終端安全管理系統(tǒng)，設(shè)立終端安全保護(hù)基線，進(jìn)行網(wǎng)絡(luò)安全域劃分和邊界防護(hù)，建立對系統(tǒng)進(jìn)行加固和保護(hù)的機制，提升網(wǎng)絡(luò)和終端設(shè)備的綜合抗風(fēng)險能力。建立以PKJiCA為核心的應(yīng)用安全服務(wù)平臺，實現(xiàn)統(tǒng)一身份管理和統(tǒng)一認(rèn)證管理，提供電子文檔全生命周期安全管理服務(wù)，建立安全監(jiān)控和審計系統(tǒng)，加強對關(guān)鍵應(yīng)用系統(tǒng)的安全保護(hù)，構(gòu)建企業(yè)的信息安全管理平臺。

建立適宜的企業(yè)信息安全建設(shè)與運行架構(gòu)，落實項目安全管理，開展信息安全風(fēng)險評估，防范、化解和降低信息安全風(fēng)險，建立由技術(shù)、流程和組織構(gòu)成的安全運營中心，提升運行維護(hù)安全管理。

企業(yè)信息安全體系總體框架如圖8-2所示。