必須充分認識到網(wǎng)絡(luò)安全等級保護的必要性，依據(jù)網(wǎng)絡(luò)安全等級保護2.0制度要求進行網(wǎng)絡(luò)安全管理體系的規(guī)范建設(shè)，才能提升網(wǎng)絡(luò)安全等級保護質(zhì)量，有效提高網(wǎng)絡(luò)安全管理水平。

網(wǎng)絡(luò)安全等級保護制度是國家網(wǎng)絡(luò)安全領(lǐng)域的基本制度和管理辦法，是維護國家安全、社會秩序和公共利益的根本保障，是各行業(yè)開展網(wǎng)絡(luò)安全體系建設(shè)的重要依據(jù)。網(wǎng)絡(luò)安全等級保護工作對改進政府和企業(yè)網(wǎng)絡(luò)安全管理體系，提高網(wǎng)絡(luò)安全建設(shè)整體水平，增強網(wǎng)絡(luò)安全體系的完整性和可靠性等方面具有重要意義。

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展與廣泛應(yīng)用，網(wǎng)絡(luò)安全問題也在不斷變化。2019年5月，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》等國家標準正式發(fā)布，意味著我國網(wǎng)絡(luò)安全等級保護從1.0步入2.0時代。

網(wǎng)絡(luò)安全等級保護制度2.0標準，安全管理指標包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。管理要求分類體現(xiàn)了從要素到活動的綜合管理思想，安全管理需要的“機構(gòu)”“制度”和“人員”三要素缺一不可，同時還應(yīng)對系統(tǒng)建設(shè)整改過程中和運行維護過程中的重要活動實施控制和管理。

為保障網(wǎng)絡(luò)信息安全，切實提高網(wǎng)絡(luò)安全防護水平，加強網(wǎng)絡(luò)安全管理，必須以網(wǎng)絡(luò)安全等級保護為工作抓手，落實網(wǎng)絡(luò)安全等級保護對安全管理工作的要求，逐步完善網(wǎng)絡(luò)安全管理體系建設(shè)。

安全管理制度建設(shè)

網(wǎng)絡(luò)安全工作的開展，需要制定健全的網(wǎng)絡(luò)安全管理制度作為工作依據(jù)，明確和落實網(wǎng)絡(luò)安全責(zé)任，以等保要求為基礎(chǔ)確定網(wǎng)絡(luò)安全管理制度覆蓋的內(nèi)容，實施網(wǎng)絡(luò)安全等級保護制度。

出臺相應(yīng)的IT基礎(chǔ)環(huán)境安全管理、網(wǎng)站與信息系統(tǒng)安全管理、數(shù)據(jù)信息安全管理、用戶與終端安全管理、賬號密碼與密鑰安全管理、監(jiān)測預(yù)警與應(yīng)急處置等，對網(wǎng)絡(luò)安全管理活動中的各類管理內(nèi)容建立安全管理制度。

根據(jù)網(wǎng)絡(luò)安全工作要求的不斷變化，對網(wǎng)絡(luò)安全管理制度的合理性和適用性進行論證和審定，對存在的不足或需要改進的內(nèi)容進行修訂。

安全管理機構(gòu)

加強組織領(lǐng)導(dǎo)，落實網(wǎng)絡(luò)信息安全責(zé)任制。信息化處設(shè)置專職科室IT安全部，負責(zé)網(wǎng)絡(luò)信息安全技術(shù)防護體系建設(shè)和網(wǎng)絡(luò)信息安全日常工作。配備專職安全管理員，關(guān)鍵事物崗位配置多人共同管理。

同時，引入多家符合網(wǎng)絡(luò)安全資質(zhì)要求的專業(yè)網(wǎng)絡(luò)安全技術(shù)機構(gòu)，提供網(wǎng)絡(luò)安全技術(shù)支持服務(wù)，并由業(yè)界專家對安全規(guī)劃和重要項目進行安全評審，通過加強多方溝通合作，提高網(wǎng)絡(luò)安全防護能力。

安全管理人員

人員管理是網(wǎng)絡(luò)信息安全中的關(guān)鍵因素，同時也是網(wǎng)絡(luò)信息安全中的薄弱環(huán)節(jié)。

在網(wǎng)絡(luò)安全管理人員方面普遍面臨的問題是缺少專兼職網(wǎng)絡(luò)安全人員、網(wǎng)絡(luò)安全意識不強、網(wǎng)絡(luò)安全培訓(xùn)宣傳不到位、外部人員訪問管理不嚴格等。網(wǎng)絡(luò)安全人員管理的缺失或不完善，會導(dǎo)致網(wǎng)絡(luò)信息安全受到影響，甚至引發(fā)安全事件。因此，需健全人員安全管理措施，落實工作職責(zé)、規(guī)范操作，減少內(nèi)、外部人員帶來的網(wǎng)絡(luò)安全風(fēng)險。

安全建設(shè)管理

網(wǎng)絡(luò)安全建設(shè)管理風(fēng)險主要來源于信息系統(tǒng)建設(shè)管理體系的不健全，以及安全要求、控制措施的缺失而導(dǎo)致的信息系統(tǒng)規(guī)劃設(shè)計、軟件開發(fā)、工程實施、測試驗收及系統(tǒng)交付等階段，關(guān)于網(wǎng)絡(luò)安全的工作內(nèi)容和工作流程的不全面、不規(guī)范問題，進而導(dǎo)致信息系統(tǒng)在安全方面存在天然的缺陷，為信息系統(tǒng)安全運行埋下隱患。

安全運維管理

安全運維管理是網(wǎng)絡(luò)安全日常工作極其重要的方面，是保障網(wǎng)絡(luò)安全的重要因素。為保障信息系統(tǒng)的安全穩(wěn)定運行，機房需要升級改造，采取防盜竊、防火等安全措施，制定機房日常巡檢規(guī)范，加強了物理安全保障。針對信息系統(tǒng)、網(wǎng)站、設(shè)備等軟硬件資產(chǎn)進行梳理，建立資產(chǎn)臺賬，并對信息系統(tǒng)、網(wǎng)站、設(shè)備進行日常監(jiān)控檢查，做好日常監(jiān)控檢查記錄，發(fā)現(xiàn)問題及時處理。

定期對所有網(wǎng)站和信息系統(tǒng)進行安全漏洞掃描，對危險主機、高危網(wǎng)站、弱密碼系統(tǒng)等存在安全問題的網(wǎng)站和系統(tǒng)進行通報，采取相應(yīng)訪問控制策略，限期整改，督促落實，對整改情況進行核查，保證整改效果，整改完成后才可恢復(fù)運行。

需要部署防火墻、云安全防護系統(tǒng)、WAF、IDS、堡壘機、數(shù)據(jù)庫審計、DPI等網(wǎng)絡(luò)安全軟硬件，提高網(wǎng)絡(luò)安全監(jiān)測預(yù)警、防護審計能力。建立《網(wǎng)絡(luò)安全突發(fā)事件專項應(yīng)急預(yù)案》，進一步明確了應(yīng)急處置流程，并借助專業(yè)安全廠商的網(wǎng)絡(luò)安全服務(wù)提升網(wǎng)絡(luò)安全防護能力，對指定站點和業(yè)務(wù)系統(tǒng)進行7×24小時監(jiān)控，及時發(fā)現(xiàn)并處理網(wǎng)站異常情況，提升對網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急處理能力，完善應(yīng)急響應(yīng)體系。

網(wǎng)絡(luò)安全等級保護制度為信息系統(tǒng)安全管理提供了系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)。網(wǎng)絡(luò)安全等級保護制度2.0標準安全管理體系建設(shè)對于網(wǎng)絡(luò)信息安全具有重大意義。實踐中，只有充分認識到網(wǎng)絡(luò)安全等級保護的必要性，并在當(dāng)前管理問題分析的基礎(chǔ)上，依據(jù)網(wǎng)絡(luò)安全等級保護2.0制度要求進行網(wǎng)絡(luò)安全管理體系的規(guī)范建設(shè)，才能提升網(wǎng)絡(luò)安全等級保護質(zhì)量，有效提高網(wǎng)絡(luò)安全管理水平。