必須充分認識到網絡安全等級保護的必要性，依據網絡安全等級保護2.0制度要求進行網絡安全管理體系的規范建設，才能提升網絡安全等級保護質量，有效提高網絡安全管理水平。

網絡安全等級保護制度是國家網絡安全領域的基本制度和管理辦法，是維護國家安全、社會秩序和公共利益的根本保障，是各行業開展網絡安全體系建設的重要依據。網絡安全等級保護工作對改進政府和企業網絡安全管理體系，提高網絡安全建設整體水平，增強網絡安全體系的完整性和可靠性等方面具有重要意義。

隨著網絡信息技術的發展與廣泛應用，網絡安全問題也在不斷變化。2019年5月，《信息安全技術網絡安全等級保護基本要求》《信息安全技術網絡安全等級保護測評要求》《信息安全技術網絡安全等級保護安全設計技術要求》等國家標準正式發布，意味著我國網絡安全等級保護從1.0步入2.0時代。

網絡安全等級保護制度2.0標準，安全管理指標包括安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。管理要求分類體現了從要素到活動的綜合管理思想，安全管理需要的“機構”“制度”和“人員”三要素缺一不可，同時還應對系統建設整改過程中和運行維護過程中的重要活動實施控制和管理。

為保障網絡信息安全，切實提高網絡安全防護水平，加強網絡安全管理，必須以網絡安全等級保護為工作抓手，落實網絡安全等級保護對安全管理工作的要求，逐步完善網絡安全管理體系建設。

安全管理制度建設

網絡安全工作的開展，需要制定健全的網絡安全管理制度作為工作依據，明確和落實網絡安全責任，以等保要求為基礎確定網絡安全管理制度覆蓋的內容，實施網絡安全等級保護制度。

出臺相應的IT基礎環境安全管理、網站與信息系統安全管理、數據信息安全管理、用戶與終端安全管理、賬號密碼與密鑰安全管理、監測預警與應急處置等，對網絡安全管理活動中的各類管理內容建立安全管理制度。

根據網絡安全工作要求的不斷變化，對網絡安全管理制度的合理性和適用性進行論證和審定，對存在的不足或需要改進的內容進行修訂。

安全管理機構

加強組織領導，落實網絡信息安全責任制。信息化處設置專職科室IT安全部，負責網絡信息安全技術防護體系建設和網絡信息安全日常工作。配備專職安全管理員，關鍵事物崗位配置多人共同管理。

同時，引入多家符合網絡安全資質要求的專業網絡安全技術機構，提供網絡安全技術支持服務，并由業界專家對安全規劃和重要項目進行安全評審，通過加強多方溝通合作，提高網絡安全防護能力。

安全管理人員

人員管理是網絡信息安全中的關鍵因素，同時也是網絡信息安全中的薄弱環節。

在網絡安全管理人員方面普遍面臨的問題是缺少專兼職網絡安全人員、網絡安全意識不強、網絡安全培訓宣傳不到位、外部人員訪問管理不嚴格等。網絡安全人員管理的缺失或不完善，會導致網絡信息安全受到影響，甚至引發安全事件。因此，需健全人員安全管理措施，落實工作職責、規范操作，減少內、外部人員帶來的網絡安全風險。

安全建設管理

網絡安全建設管理風險主要來源于信息系統建設管理體系的不健全，以及安全要求、控制措施的缺失而導致的信息系統規劃設計、軟件開發、工程實施、測試驗收及系統交付等階段，關于網絡安全的工作內容和工作流程的不全面、不規范問題，進而導致信息系統在安全方面存在天然的缺陷，為信息系統安全運行埋下隱患。

安全運維管理

安全運維管理是網絡安全日常工作極其重要的方面，是保障網絡安全的重要因素。為保障信息系統的安全穩定運行，機房需要升級改造，采取防盜竊、防火等安全措施，制定機房日常巡檢規范，加強了物理安全保障。針對信息系統、網站、設備等軟硬件資產進行梳理，建立資產臺賬，并對信息系統、網站、設備進行日常監控檢查，做好日常監控檢查記錄，發現問題及時處理。

定期對所有網站和信息系統進行安全漏洞掃描，對危險主機、高危網站、弱密碼系統等存在安全問題的網站和系統進行通報，采取相應訪問控制策略，限期整改，督促落實，對整改情況進行核查，保證整改效果，整改完成后才可恢復運行。

需要部署防火墻、云安全防護系統、WAF、IDS、堡壘機、數據庫審計、DPI等網絡安全軟硬件，提高網絡安全監測預警、防護審計能力。建立《網絡安全突發事件專項應急預案》，進一步明確了應急處置流程，并借助專業安全廠商的網絡安全服務提升網絡安全防護能力，對指定站點和業務系統進行7×24小時監控，及時發現并處理網站異常情況，提升對網絡安全突發事件的應急處理能力，完善應急響應體系。

網絡安全等級保護制度為信息系統安全管理提供了系統性、針對性、可行性的指導和服務。網絡安全等級保護制度2.0標準安全管理體系建設對于網絡信息安全具有重大意義。實踐中，只有充分認識到網絡安全等級保護的必要性，并在當前管理問題分析的基礎上，依據網絡安全等級保護2.0制度要求進行網絡安全管理體系的規范建設，才能提升網絡安全等級保護質量，有效提高網絡安全管理水平。