信息安全体系架构二

建立企业信息安全组织，依据信息安全岗位的不相容及权限最小化原则，落实岗位职责，建立信息安全考核机制。配合信息系统的建设和运行，加强对员工的信息安全教育和技能培训。

建立完善的企业信息安全技术体系，依据等级保护规定，建立以物理环境、网络、主机、应用和数据备份等在内的信息安全防护措施。建设终端安全管理系统，设立终端安全保护基线，进行网络安全域划分和边界防护，建立对系统进行加固和保护的机制，提升网络和终端设备的综合抗风险能力。建立以PKJiCA为核心的应用安全服务平台，实现统一身份管理和统一认证管理，提供电子文档全生命周期安全管理服务，建立安全监控和审计系统，加强对关键应用系统的安全保护，构建企业的信息安全管理平台。

建立适宜的企业信息安全建设与运行架构，落实项目安全管理，开展信息安全风险评估，防范、化解和降低信息安全风险，建立由技术、流程和组织构成的安全运营中心，提升运行维护安全管理。

企业信息安全体系总体框架如图8-2所示。