建立企業信息安全組織，依據信息安全崗位的不相容及權限最小化原則，落實崗位職責，建立信息安全考核機制。配合信息系統的建設和運行，加強對員工的信息安全教育和技能培訓。

建立完善的企業信息安全技術體系，依據等級保護規定，建立以物理環境、網絡、主機、應用和數據備份等在內的信息安全防護措施。建設終端安全管理系統，設立終端安全保護基線，進行網絡安全域劃分和邊界防護，建立對系統進行加固和保護的機制，提升網絡和終端設備的綜合抗風險能力。建立以PKJiCA為核心的應用安全服務平臺，實現統一身份管理和統一認證管理，提供電子文檔全生命周期安全管理服務，建立安全監控和審計系統，加強對關鍵應用系統的安全保護，構建企業的信息安全管理平臺。

建立適宜的企業信息安全建設與運行架構，落實項目安全管理，開展信息安全風險評估，防范、化解和降低信息安全風險，建立由技術、流程和組織構成的安全運營中心，提升運行維護安全管理。

企業信息安全體系總體框架如圖8-2所示。