建立企業(yè)信息安全組織，依據(jù)信息安全崗位的不相容及權限最小化原則，落實崗位職責，建立信息安全考核機制。配合信息系統(tǒng)的建設和運行，加強對員工的信息安全教育和技能培訓。

建立完善的企業(yè)信息安全技術體系，依據(jù)等級保護規(guī)定，建立以物理環(huán)境、網(wǎng)絡、主機、應用和數(shù)據(jù)備份等在內的信息安全防護措施。建設終端安全管理系統(tǒng)，設立終端安全保護基線，進行網(wǎng)絡安全域劃分和邊界防護，建立對系統(tǒng)進行加固和保護的機制，提升網(wǎng)絡和終端設備的綜合抗風險能力。建立以PKJiCA為核心的應用安全服務平臺，實現(xiàn)統(tǒng)一身份管理和統(tǒng)一認證管理，提供電子文檔全生命周期安全管理服務，建立安全監(jiān)控和審計系統(tǒng)，加強對關鍵應用系統(tǒng)的安全保護，構建企業(yè)的信息安全管理平臺。

建立適宜的企業(yè)信息安全建設與運行架構，落實項目安全管理，開展信息安全風險評估，防范、化解和降低信息安全風險，建立由技術、流程和組織構成的安全運營中心，提升運行維護安全管理。

企業(yè)信息安全體系總體框架如圖8-2所示。