涉密信息系统的建设使用单位应对系统设计方案进行审查论证，保密行政管理部门应参与方案审查论证，在系统总安全保密性方面加强指导。

信息安全意识培训应该只针对IT人员，业务人员不需要

信息安全事件应分级处理

在应急响应程序结束后，应由职能和业务部门负责系统及功能测试

在启动应急响应程序时，应有专人向相关部门或人员发送通知

在发现自己能处理的安全事件时，启动应急响应太麻烦了，可以自己解决就自己解决，不用汇报，以免将小事扩大

应急演练应至少每年进行一次

敏感及重要信息资产的管理应符合国家及行业法律法规的要求

对于同类型资产应采用同样的资产标识

信息资产的管理者应对信息资产进行合理的安全等级标识

资产清单应包括所有为从灾难中恢复而需要的信息，包括资产类型、格式、位置、备份信息、许可信息和业务价值