接下来小编将整改工作的目标、内容、方法、流程、要求等内容列出来，供大家参考。

● 探索信息安全工作的整体思路

● 确定信息系统保护的基线要求

● 了解信息系统的问题和差距

● 明确信息系统安全建设的目标

● 提升信息系统的安全保护能力

定级时，是按照有关标准要求对每个业务系统进行定级。但在安全建设整改时，可以采取“分区”、“分域”的方法，按照整体防护、综合防控的原则进行建设方案或整改方案的设计。整改方案立足于对信息系统进行加固改造，缺什么就补充什么；对于新建系统，参照同步规划、同步设计、同步实施这“三同步”的要求，落实安全管理措施和技术保护措施。

实际工作中，设计建设方案时需要坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。

各级信息系统安全保护管理措施要求：

管理制度建设的依据

《管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统安全工程管理要求》

技术措施建设的依据

《管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统安全等级保护安全设计技术要求》

建设过程中要突出重点。三四级信息系统优先级别高于二级系统，当然也可以对各等级系统同步规划实施，确保按期完成任务。

工作流程：信息系统安全建设整改工作规划和工作部署——信息系统安全保护现状分析——确定安全策略，制定安全建设整改方案——开展信息系统安全自查和等级测评。详细工作流程详见下表：

通过对信息系统的安全建设整改工作，使得系统安全管理水平明显提高，安全防范能力明显加强，减少安全隐患和安全事故的发生，从而有效保障国家安全、社会秩序和公共利益。

建设整改方案设计思路和要点

依据《信息系统安全等级保护基本要求》

参照《信息系统等级保护安全设计技术要求》

引入“纵深防御”的概念， 强化多层防御

引入“安全区域”的概念

● 物理安全设计

对于不同安全保护等级子系统各自独立使用机房或独立使用某个部分（区域）的情况，其独立部分可根据不同安全保护等级的要求和需求独立设计。对不同安全保护等级子系统共用机房或共用某些部分（区域）的情况，其共用部分按照最高原则进行设计，也就是就高不就低的原则。

● 主机系统安全设计

主机系统安全设计，内容包括操作系统或数据库管理系统的安全配置，主机入侵防范、恶意代码防范、资源使用情况监控等功能的实现。

主机安全设计需要明确规定操作系统与数据库管理系统的名称与版本、应安装的最小化组件与必要补丁、基本的安全配置规范。

合理的安全配置是确保主机系统具备的安全功能在业务环境中充分、有效对抗威胁的保证。主要配置内容应包括身份鉴别（鉴别方式、强度、失败处理）、访问控制（控制范围、严格程度以及实现方式）、安全审计（实现方式、对象和项目的选择、日志存储与保护、数据查询与报警）等。

● 备份与恢复设计

针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求。

针对信息系统服务连续性的安全设计要考虑连续性保证方式（设备冗余、系统级冗余直至远程集群支持）与实现细节，包括相关的基础设施支持、冗余相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。