必须充分认识到网络安全等级保护的必要性，依据网络安全等级保护2.0制度要求进行网络安全管理体系的规范建设，才能提升网络安全等级保护质量，有效提高网络安全管理水平。

网络安全等级保护制度是国家网络安全领域的基本制度和管理办法，是维护国家安全、社会秩序和公共利益的根本保障，是各行业开展网络安全体系建设的重要依据。网络安全等级保护工作对改进政府和企业网络安全管理体系，提高网络安全建设整体水平，增强网络安全体系的完整性和可靠性等方面具有重要意义。

随着网络信息技术的发展与广泛应用，网络安全问题也在不断变化。2019年5月，《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，意味着我国网络安全等级保护从1.0步入2.0时代。

网络安全等级保护制度2.0标准，安全管理指标包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。管理要求分类体现了从要素到活动的综合管理思想，安全管理需要的“机构”“制度”和“人员”三要素缺一不可，同时还应对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。

为保障网络信息安全，切实提高网络安全防护水平，加强网络安全管理，必须以网络安全等级保护为工作抓手，落实网络安全等级保护对安全管理工作的要求，逐步完善网络安全管理体系建设。

安全管理制度建设

网络安全工作的开展，需要制定健全的网络安全管理制度作为工作依据，明确和落实网络安全责任，以等保要求为基础确定网络安全管理制度覆盖的内容，实施网络安全等级保护制度。

出台相应的IT基础环境安全管理、网站与信息系统安全管理、数据信息安全管理、用户与终端安全管理、账号密码与密钥安全管理、监测预警与应急处置等，对网络安全管理活动中的各类管理内容建立安全管理制度。

根据网络安全工作要求的不断变化，对网络安全管理制度的合理性和适用性进行论证和审定，对存在的不足或需要改进的内容进行修订。

安全管理机构

加强组织领导，落实网络信息安全责任制。信息化处设置专职科室IT安全部，负责网络信息安全技术防护体系建设和网络信息安全日常工作。配备专职安全管理员，关键事物岗位配置多人共同管理。

同时，引入多家符合网络安全资质要求的专业网络安全技术机构，提供网络安全技术支持服务，并由业界专家对安全规划和重要项目进行安全评审，通过加强多方沟通合作，提高网络安全防护能力。

安全管理人员

人员管理是网络信息安全中的关键因素，同时也是网络信息安全中的薄弱环节。

在网络安全管理人员方面普遍面临的问题是缺少专兼职网络安全人员、网络安全意识不强、网络安全培训宣传不到位、外部人员访问管理不严格等。网络安全人员管理的缺失或不完善，会导致网络信息安全受到影响，甚至引发安全事件。因此，需健全人员安全管理措施，落实工作职责、规范操作，减少内、外部人员带来的网络安全风险。

安全建设管理

网络安全建设管理风险主要来源于信息系统建设管理体系的不健全，以及安全要求、控制措施的缺失而导致的信息系统规划设计、软件开发、工程实施、测试验收及系统交付等阶段，关于网络安全的工作内容和工作流程的不全面、不规范问题，进而导致信息系统在安全方面存在天然的缺陷，为信息系统安全运行埋下隐患。

安全运维管理

安全运维管理是网络安全日常工作极其重要的方面，是保障网络安全的重要因素。为保障信息系统的安全稳定运行，机房需要升级改造，采取防盗窃、防火等安全措施，制定机房日常巡检规范，加强了物理安全保障。针对信息系统、网站、设备等软硬件资产进行梳理，建立资产台账，并对信息系统、网站、设备进行日常监控检查，做好日常监控检查记录，发现问题及时处理。

定期对所有网站和信息系统进行安全漏洞扫描，对危险主机、高危网站、弱密码系统等存在安全问题的网站和系统进行通报，采取相应访问控制策略，限期整改，督促落实，对整改情况进行核查，保证整改效果，整改完成后才可恢复运行。

需要部署防火墙、云安全防护系统、WAF、IDS、堡垒机、数据库审计、DPI等网络安全软硬件，提高网络安全监测预警、防护审计能力。建立《网络安全突发事件专项应急预案》，进一步明确了应急处置流程，并借助专业安全厂商的网络安全服务提升网络安全防护能力，对指定站点和业务系统进行7×24小时监控，及时发现并处理网站异常情况，提升对网络安全突发事件的应急处理能力，完善应急响应体系。

网络安全等级保护制度为信息系统安全管理提供了系统性、针对性、可行性的指导和服务。网络安全等级保护制度2.0标准安全管理体系建设对于网络信息安全具有重大意义。实践中，只有充分认识到网络安全等级保护的必要性，并在当前管理问题分析的基础上，依据网络安全等级保护2.0制度要求进行网络安全管理体系的规范建设，才能提升网络安全等级保护质量，有效提高网络安全管理水平。