信息安全等级保护建设分为技术要求和管理要求两大类，其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面；管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面，主要通过制度的制定和文档的规范来实现。

物理安全：主要针对主机房、辅助机房和办公等环境，设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。目前通常通过机房集中监控系统平台实现统一管理，联动报警。

 

 

网络安全：包括通信安全以及区域网络安全。通信安全采用可靠性设备和线路冗余、加密等方式实现；区域网络安全包括边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。

主机安全：包括信息系统涉及到的服务器和工作站，通过操作系统或数据库管理系统的选择/安装和安全配置、主机入侵防范、恶意代码防范、资源使用情况监控等手段实现。安全配置可细分为身份鉴别、访问控制、安全审计等。

应用系统安全：包括信息系统涉及到的应用系统软件（含应用/中间件平台），通过身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等方式实现。

数据安全及其备份恢复：包括信息系统的业务数据安全和系统服务连续性安全，通过数据备份系统、备用基础设施以及相关技术手段实现。数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质、备份线路速率以及相关通信设备的规格和要求；通过设备冗余、系统级冗余直至远程集群支持等方式实现信息系统服务连续性的安全，包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。