企业数据安全保护措施与实践操作

企业数据安全保护措施与实践操作TOC\o"1-2"\h\u5371第一章企业数据安全概述 3244201.1数据安全的重要性 3294491.1.1保障企业核心竞争力 3217421.1.2维护企业形象 3144501.1.3遵守法律法规 349251.1.4防范网络攻击 3204901.2数据安全的基本概念 3231731.2.1完整性 3161591.2.2可用性 4289621.2.3机密性 4142941.2.4安全策略 463871.2.5安全风险管理 413209第二章数据安全政策与法规 4206412.1数据安全政策制定 4322082.1.1确定数据安全政策目标 4184032.1.2数据安全政策内容 465162.1.3数据安全政策制定流程 5264472.2遵守国家相关法规 5732.2.1《中华人民共和国网络安全法》 538862.2.2《中华人民共和国数据安全法》 5288542.2.3其他相关法规 536902.3企业内部数据安全规定 5265202.3.1数据安全组织与职责 565582.3.2数据安全培训与宣传 634662.3.3数据安全事件处理 630052.3.4数据安全审计与检查 623405第三章数据安全风险评估 6176553.1风险评估方法 662013.1.1定量风险评估 6250283.1.2定性风险评估 688023.1.3混合风险评估 649203.2风险等级划分 7187733.3风险应对策略 7274093.3.1无风险和低风险 7245313.3.2中风险 7166703.3.3高风险和极高风险 713880第四章数据安全组织与管理 7176464.1建立数据安全组织架构 8255844.2数据安全职责分配 897064.3数据安全培训与宣传 816813第五章数据加密与存储安全 9197805.1数据加密技术 9169125.2数据存储安全策略 9164845.3数据备份与恢复 101260第六章数据访问控制 10142676.1用户身份验证 1085216.1.1引言 1054086.1.2用户身份验证技术 10176126.1.3用户身份验证实施策略 11322916.2访问权限控制 11315496.2.1引言 11168966.2.2访问权限控制策略 11182286.2.3访问权限控制实施策略 11123076.3审计与监控 11156706.3.1引言 11273866.3.2审计策略 1173786.3.3监控策略 12260636.3.4审计与监控实施策略 1232630第七章数据传输安全 12256277.1数据传输加密 12130727.2数据传输安全协议 12231517.3数据传输监控 1318120第八章数据安全事件应急响应 13155648.1应急预案制定 13169648.1.1目的与原则 13289908.1.2预案内容 1311158.2应急响应流程 1441818.2.1事件报告与评估 14276878.2.2应急响应启动 14108498.2.3应急处置 14183848.2.4信息发布与沟通 14162878.2.5后期恢复与总结 1578178.3应急演练与评估 15191298.3.1演练目的 15224188.3.2演练类型 15307828.3.3演练评估 153651第九章数据安全合规性评估 15151149.1合规性评估标准 1590629.1.1国际与国家标准 15114389.1.2行业规范与政策 15241729.1.3企业内部制度与规定 16251809.2合规性评估流程 16177319.2.1评估准备 16250539.2.2评估实施 16326739.2.3评估结果分析 1611239.2.4评估报告 16301869.3合规性整改与优化 16216619.3.1整改措施 16180739.3.2整改实施 1737389.3.3整改效果评价 17174539.3.4持续优化 171120第十章数据安全持续改进 171739510.1数据安全改进措施 172352710.2数据安全技术创新 181906310.3数据安全文化建设 18第一章企业数据安全概述1.1数据安全的重要性信息技术的飞速发展，数据已成为企业最宝贵的资产之一。在数字化时代，企业面临着日益严峻的数据安全挑战。数据安全关乎企业的生存与发展，以下从几个方面阐述数据安全的重要性。1.1.1保障企业核心竞争力数据是企业核心竞争力的关键要素，包括客户信息、商业秘密、研发资料等。一旦这些数据泄露或遭受破坏，将直接影响企业的市场地位和竞争优势。1.1.2维护企业形象数据泄露或安全事件可能导致企业声誉受损，影响客户信任度和合作伙伴关系。良好的数据安全保护措施有助于维护企业形象，提升品牌价值。1.1.3遵守法律法规我国高度重视数据安全，出台了一系列法律法规，如《网络安全法》、《数据安全法》等。企业有责任保证数据安全，避免因违法而遭受法律制裁。1.1.4防范网络攻击网络攻击日益频繁，企业数据安全面临严重威胁。通过加强数据安全保护，企业可以降低被攻击的风险，保证业务稳定运行。1.2数据安全的基本概念数据安全是指保护数据在存储、传输、处理和使用过程中的完整性、可用性和机密性。以下介绍几个与数据安全相关的核心概念：1.2.1完整性完整性是指数据在传输、存储和加工过程中未被非法篡改，保持其原有的正确性。保证数据完整性是数据安全的基础。1.2.2可用性可用性是指数据在需要时能够被合法用户访问和使用。保证数据可用性是企业正常运营的关键。1.2.3机密性机密性是指数据仅对合法用户开放，防止未经授权的访问和使用。保护数据机密性有助于防止敏感信息泄露。1.2.4安全策略安全策略是指企业为保障数据安全而制定的一系列规章制度和技术措施。安全策略包括物理安全、网络安全、数据加密、访问控制等多个方面。1.2.5安全风险管理安全风险管理是指企业通过识别、评估、处理和监控数据安全风险，以降低风险对企业的影响。安全风险管理包括风险识别、风险评估、风险处理和风险监控等环节。第二章数据安全政策与法规2.1数据安全政策制定企业数据安全政策是保证企业数据资产安全、合规使用和有效管理的基础。以下是数据安全政策制定的关键环节：2.1.1确定数据安全政策目标企业应首先明确数据安全政策的目标，包括保护企业数据资产的完整性、机密性和可用性，防范内外部威胁，保证业务连续性和合规性。2.1.2数据安全政策内容数据安全政策应涵盖以下内容：（1）数据分类与分级：根据数据的敏感程度、重要性和业务影响，对数据进行分类和分级。（2）数据访问与权限管理：明确数据访问权限，保证授权人员可以访问敏感数据。（3）数据传输与存储：对数据传输和存储进行加密，保证数据在传输和存储过程中不被泄露。（4）数据备份与恢复：定期进行数据备份，保证在数据丢失或损坏时能够及时恢复。（5）数据销毁与处理：明确数据销毁和处理的标准，保证敏感数据在不再需要时得到安全销毁。2.1.3数据安全政策制定流程企业应遵循以下流程制定数据安全政策：（1）调研与评估：了解企业现有数据安全状况，评估潜在风险。（2）政策草拟：根据评估结果，草拟数据安全政策。（3）征求意见：向相关部门和人员征求意见，完善政策内容。（4）审批与发布：提交审批，通过后正式发布实施。2.2遵守国家相关法规企业在制定和实施数据安全政策时，应严格遵守以下国家相关法规：2.2.1《中华人民共和国网络安全法》该法规明确了网络安全的基本要求，企业应保证数据安全政策符合网络安全法的规定。2.2.2《中华人民共和国数据安全法》该法规对数据处理、数据安全保护等方面进行了规定，企业应遵循数据安全法的要求，加强数据安全保护。2.2.3其他相关法规包括《中华人民共和国个人信息保护法》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等，企业应密切关注相关政策动态，保证数据安全政策与国家法规保持一致。2.3企业内部数据安全规定企业内部数据安全规定是对数据安全政策的细化和落实，以下为企业内部数据安全规定的主要内容：2.3.1数据安全组织与职责明确企业内部数据安全组织架构，设定数据安全负责人，明确各部门和人员在数据安全方面的职责。2.3.2数据安全培训与宣传定期开展数据安全培训，提高员工的数据安全意识，加强数据安全宣传，营造良好的数据安全氛围。2.3.3数据安全事件处理制定数据安全事件处理流程，明确事件分类、报告、应急响应和后续处理等环节。2.3.4数据安全审计与检查定期对数据安全政策执行情况进行审计和检查，保证数据安全政策得到有效落实。第三章数据安全风险评估3.1风险评估方法数据安全风险评估是保证企业数据安全的关键环节，其目的是识别、分析和评估潜在的数据安全风险。以下是几种常用的风险评估方法：3.1.1定量风险评估定量风险评估通过数学模型和统计分析，对风险进行量化评估。主要包括以下步骤：（1）确定评估指标，如风险概率、损失程度等；（2）收集相关数据，对风险概率和损失程度进行量化；（3）运用数学模型，计算风险值；（4）分析评估结果，确定风险等级。3.1.2定性风险评估定性风险评估基于专家经验和主观判断，对风险进行描述性评估。主要包括以下步骤：（1）确定评估指标，如风险发生的可能性、影响程度等；（2）收集专家意见，进行风险评估；（3）分析评估结果，确定风险等级。3.1.3混合风险评估混合风险评估结合了定量和定性的评估方法，以提高评估结果的准确性。具体步骤如下：（1）运用定量方法，对风险进行初步量化；（2）运用定性方法，对风险进行详细描述；（3）综合分析定量和定性评估结果，确定风险等级。3.2风险等级划分根据风险评估结果，可将数据安全风险分为以下五个等级：（1）无风险：风险值低于0.1，表示数据安全风险极低；（2）低风险：风险值在0.1至0.3之间，表示数据安全风险较低；（3）中风险：风险值在0.3至0.5之间，表示数据安全风险适中；（4）高风险：风险值在0.5至0.7之间，表示数据安全风险较高；（5）极高风险：风险值高于0.7，表示数据安全风险极高。3.3风险应对策略针对不同等级的数据安全风险，企业应采取以下应对策略：3.3.1无风险和低风险对于无风险和低风险，企业可采取以下措施：（1）持续关注风险变化，定期进行风险评估；（2）加强员工安全意识培训，提高数据安全防护能力；（3）建立和完善数据安全管理制度。3.3.2中风险对于中风险，企业可采取以下措施：（1）识别风险源头，制定针对性的风险防控措施；（2）增强数据安全防护技术，提高数据安全防护能力；（3）加强内部审计，保证数据安全管理制度的有效执行。3.3.3高风险和极高风险对于高风险和极高风险，企业应采取以下措施：（1）优先处理，制定详细的应对方案；（2）增加安全投入，提升数据安全防护水平；（3）建立应急响应机制，保证在风险发生时能够迅速应对；（4）定期对高风险和极高风险进行评估，动态调整应对策略。第四章数据安全组织与管理4.1建立数据安全组织架构在当今信息化时代，企业数据安全已成为企业生存与发展的重要保障。建立数据安全组织架构是企业数据安全保护的基础，旨在明确数据安全管理的层级、职责和协作关系。以下是建立数据安全组织架构的几个关键步骤：（1）设立数据安全管理委员会：企业应设立一个数据安全管理委员会，负责制定数据安全战略、政策、制度和流程。数据安全管理委员会应由企业高层领导、相关部门负责人和专业人士组成。（2）设立数据安全管理部门：企业应设立一个专门的数据安全管理部门，负责组织实施数据安全政策、制度和流程，协调各部门的数据安全工作。（3）明确数据安全岗位设置：企业应根据业务需求和数据安全风险，合理设置数据安全岗位，如数据安全工程师、数据安全审计员等。（4）建立数据安全协作机制：企业应建立数据安全协作机制，保证数据安全管理部门与其他部门之间的沟通与协作，共同保障数据安全。4.2数据安全职责分配为保证数据安全组织架构的有效运行，企业应对数据安全职责进行合理分配。以下是一些建议：（1）数据安全管理委员会职责：负责制定数据安全战略、政策、制度和流程，监督数据安全工作的实施，评估数据安全风险。（2）数据安全管理部门职责：组织实施数据安全政策、制度和流程，开展数据安全培训与宣传，监督、检查数据安全措施的落实。（3）数据安全岗位职责：负责具体的数据安全工作，如风险评估、安全防护、安全审计等。（4）其他部门职责：各部门应按照数据安全政策、制度和流程要求，落实数据安全措施，保障本部门数据安全。4.3数据安全培训与宣传数据安全培训与宣传是提高企业员工数据安全意识、提升数据安全防护能力的重要手段。以下是数据安全培训与宣传的几个关键方面：（1）制定培训计划：企业应根据员工职责和业务需求，制定针对性的数据安全培训计划。（2）开展培训活动：通过线上线下相结合的方式，开展数据安全培训活动，包括数据安全知识、技能培训等。（3）强化培训效果：通过考试、竞赛等形式，检验员工培训效果，保证培训内容深入人心。（4）持续宣传与教育：企业应定期开展数据安全宣传活动，强化员工数据安全意识，营造良好的数据安全文化氛围。（5）建立激励机制：企业可设立数据安全奖励制度，激励员工积极参与数据安全工作，提高数据安全防护水平。第五章数据加密与存储安全5.1数据加密技术数据加密技术是企业数据安全保护的核心措施之一。其主要目的是通过加密算法将原始数据转换为不可读的形式，以保证数据在传输和存储过程中的安全性。以下是几种常见的数据加密技术：（1）对称加密技术：对称加密技术使用相同的密钥对数据进行加密和解密。其优点是加密和解密速度快，但密钥的分发和管理较为复杂。常见的对称加密算法有DES、3DES、AES等。（2）非对称加密技术：非对称加密技术使用一对密钥，即公钥和私钥。公钥用于加密数据，私钥用于解密数据。其优点是密钥分发和管理简单，但加密和解密速度较慢。常见的非对称加密算法有RSA、ECC等。（3）混合加密技术：混合加密技术结合了对称加密和非对称加密的优点，先使用对称加密算法加密数据，再使用非对称加密算法加密对称密钥。常见的混合加密算法有SSL/TLS、IKE等。5.2数据存储安全策略数据存储安全策略是企业数据安全保护的重要环节。以下是一些常见的数据存储安全策略：（1）访问控制：对企业内部存储设备进行访问控制，限制用户对敏感数据的访问权限，保证数据安全性。（2）数据加密存储：对存储设备中的数据进行加密，防止未授权用户获取数据。（3）数据完整性保护：采用校验码、哈希算法等技术，保证数据在存储过程中不被篡改。（4）数据备份：定期对存储设备中的数据进行备份，以便在数据丢失或损坏时进行恢复。（5）存储设备安全：对存储设备进行物理安全保护，如设置密码、使用安全锁等。5.3数据备份与恢复数据备份与恢复是企业数据安全保护的重要措施，旨在保证数据在丢失或损坏时能够及时恢复。以下是一些常见的数据备份与恢复策略：（1）定期备份：根据数据的重要性和更新频率，制定合理的备份计划，定期进行数据备份。（2）多份备份：将数据备份至多个存储设备，以提高数据恢复的成功率。（3）异地备份：将数据备份至地理位置不同的存储设备，以应对自然灾害等突发情况。（4）加密备份：对备份数据进行加密，防止未授权用户获取数据。（5）定期恢复测试：定期对备份数据进行恢复测试，保证备份的有效性。（6）恢复流程：制定详细的恢复流程，保证在数据丢失或损坏时能够迅速恢复。第六章数据访问控制6.1用户身份验证6.1.1引言用户身份验证是保证数据安全的关键环节，它通过对用户身份的核实，保证合法用户才能访问企业数据。有效的用户身份验证措施能够降低数据泄露和非法访问的风险，为企业数据安全提供坚实保障。6.1.2用户身份验证技术（1）密码验证：密码验证是最常见的用户身份验证方式，企业应要求用户设置复杂且不易猜测的密码，并定期更改。（2）双因素认证：双因素认证结合了密码和动态验证码两种验证方式，提高了身份验证的安全性。（3）生物识别技术：生物识别技术通过识别用户的生理特征（如指纹、面部识别等）进行身份验证，具有较高的安全性。6.1.3用户身份验证实施策略（1）制定统一的身份验证政策，明确验证方式、验证强度等要求。（2）对用户身份验证过程进行加密，防止数据在传输过程中被窃取。（3）建立用户身份验证日志，便于审计和监控。6.2访问权限控制6.2.1引言访问权限控制是数据安全保护的重要手段，通过对不同用户进行权限划分，保证用户只能访问其权限范围内的数据，从而降低数据泄露的风险。6.2.2访问权限控制策略（1）基于角色的访问控制（RBAC）：根据用户的角色分配权限，实现不同角色之间的权限隔离。（2）基于属性的访问控制（ABAC）：根据用户属性（如部门、职位等）和资源属性（如敏感度、类型等）进行权限控制。（3）最小权限原则：为用户分配完成任务所需的最小权限，减少权限滥用风险。6.2.3访问权限控制实施策略（1）制定明确的权限分配政策，保证权限分配合理、可控。（2）定期对权限进行审计，发觉并消除潜在的安全隐患。（3）采用自动化权限管理工具，提高权限管理的效率和准确性。6.3审计与监控6.3.1引言审计与监控是企业数据安全保护的重要环节，通过对数据访问行为的审计和监控，可以发觉潜在的安全风险，保证数据安全。6.3.2审计策略（1）制定审计政策，明确审计范围、审计周期等要求。（2）建立审计日志，记录用户访问行为、操作结果等信息。（3）定期分析审计日志，发觉异常行为并及时处理。6.3.3监控策略（1）采用实时监控技术，实时监测数据访问行为。（2）设置监控阈值，发觉异常行为时及时报警。（3）建立监控团队，负责监控数据安全状况并及时响应。6.3.4审计与监控实施策略（1）建立完善的审计和监控体系，保证数据安全。（2）定期对审计和监控设备进行检查和维护，保证其正常运行。（3）加强审计和监控人员的培训，提高其专业素养和处理能力。，第七章数据传输安全信息技术的飞速发展，数据传输已成为企业日常运营中不可或缺的一环。保障数据传输安全，对于维护企业利益、防范信息泄露具有重要意义。本章将从数据传输加密、数据传输安全协议及数据传输监控三个方面展开论述。7.1数据传输加密数据传输加密是保证数据在传输过程中不被窃取、篡改的重要手段。企业应采取以下措施加强数据传输加密：（1）采用对称加密算法和非对称加密算法相结合的方式进行数据加密。对称加密算法如AES、DES等，具有加密速度快、效率高等优点；非对称加密算法如RSA、ECC等，安全性较高，但加密速度较慢。（2）定期更换加密密钥，以降低密钥泄露的风险。（3）对传输数据进行完整性校验，保证数据在传输过程中未被篡改。7.2数据传输安全协议数据传输安全协议是保障数据传输安全的关键技术。以下为企业应采用的数据传输安全协议：（1）安全套接层（SSL）协议：SSL协议是一种基于公钥加密技术的安全协议，用于在客户端和服务器之间建立安全连接。企业可在Web服务器、邮件服务器等场景使用SSL协议，保证数据传输安全。（2）传输层安全（TLS）协议：TLS协议是SSL协议的升级版，具有更高的安全性。企业可在内部网络、外部网络等场景使用TLS协议，保障数据传输安全。（3）IPSec协议：IPSec协议是一种基于IP层的安全协议，可用于保护整个IP数据包的传输安全。企业可在虚拟专用网络（VPN）、远程访问等场景使用IPSec协议。7.3数据传输监控数据传输监控是指对数据传输过程进行实时监控，以发觉潜在的安全风险。以下为企业应采取的数据传输监控措施：（1）部署入侵检测系统（IDS）：IDS可实时监控网络流量，分析数据包内容，发觉异常行为，从而及时采取措施防范数据泄露。（2）采用流量分析工具：流量分析工具可对网络流量进行统计和分析，帮助企业发觉数据传输中的异常情况。（3）建立安全审计机制：企业应对数据传输进行安全审计，定期检查日志，分析安全事件，以便及时发觉并解决安全问题。（4）加强员工安全意识培训：企业应定期组织员工进行数据安全意识培训，提高员工对数据传输安全的重视程度，降低内部泄露的风险。通过以上措施，企业可保证数据传输安全，为企业的可持续发展提供有力保障。第八章数据安全事件应急响应8.1应急预案制定8.1.1目的与原则企业数据安全应急预案的制定旨在保证在数据安全事件发生时，能够迅速、有序、高效地开展应急响应工作，降低事件对企业和用户的影响。应急预案的制定应遵循以下原则：（1）预防为主，防治结合；（2）统一指挥，分工协作；（3）快速响应，及时处理；（4）科学决策，合理调度。8.1.2预案内容企业数据安全应急预案主要包括以下内容：（1）预案适用范围：明确预案的适用范围，包括数据安全事件的类型、级别等；（2）组织架构：建立应急响应组织架构，明确各成员职责；（3）预警与报告：制定预警机制，明确报告程序、报告对象和报告内容；（4）应急响应流程：详细描述应急响应的具体步骤和方法；（5）资源保障：保证应急响应所需的资源，包括人员、设备、技术等；（6）信息发布与沟通：明确信息发布渠道、发布内容和沟通机制；（7）后期恢复与总结：对事件进行总结，提出改进措施。8.2应急响应流程8.2.1事件报告与评估当发觉数据安全事件时，应立即启动应急预案，进行事件报告和评估。报告应包括以下内容：（1）事件发生时间、地点；（2）事件类型、级别；（3）已知影响范围和损失情况；（4）可能的后续影响。8.2.2应急响应启动根据事件报告和评估结果，启动相应级别的应急响应。应急响应分为以下级别：（1）一级响应：严重影响企业运营和声誉，需立即采取应急措施；（2）二级响应：对企业和用户产生一定影响，需在一定时间内采取应急措施；（3）三级响应：对企业和用户影响较小，需关注并采取相应措施。8.2.3应急处置根据应急响应级别，采取以下应急处置措施：（1）一级响应：立即组织力量进行现场处置，尽快恢复正常运营；（2）二级响应：组织相关人员调查事件原因，采取技术手段减轻影响；（3）三级响应：加强监控，密切关注事件发展，必要时采取预防措施。8.2.4信息发布与沟通在应急响应过程中，应保证以下信息发布与沟通：（1）对内：及时向企业内部员工发布事件进展和应急措施；（2）对外：与相关部门、合作伙伴和用户保持沟通，发布权威信息。8.2.5后期恢复与总结应急响应结束后，应进行以下工作：（1）恢复正常运营：对受影响系统进行修复，保证恢复正常运营；（2）事件总结：分析事件原因，总结应急响应过程中的经验教训；（3）改进措施：针对事件暴露出的问题，提出改进措施并实施。8.3应急演练与评估8.3.1演练目的应急演练旨在检验应急预案的可行性和有效性，提高应急响应能力，保证在数据安全事件发生时能够迅速、有序地开展应急工作。8.3.2演练类型应急演练可分为以下类型：（1）全员演练：模拟真实场景，全面检验应急预案的执行能力；（2）分级演练：针对不同级别的应急响应，进行有针对性的演练；（3）专项演练：针对特定场景或技术手段，进行专项演练。8.3.3演练评估应急演练结束后，应对以下方面进行评估：（1）预案执行情况：评估预案是否能够顺利执行，是否存在不足；（2）应急响应能力：评估应急响应人员的技能和配合程度；（3）演练效果：评估演练是否达到预期效果，对预案的改进提出建议。第九章数据安全合规性评估9.1合规性评估标准9.1.1国际与国家标准在开展数据安全合规性评估时，首先应参照国际与国家标准，如ISO/IEC27001、ISO/IEC27002、GB/T220802016《信息安全技术信息系统安全等级保护基本要求》等。这些标准为数据安全合规性提供了基本框架和具体要求。9.1.2行业规范与政策除国家标准外，还需关注行业规范与政策，如金融、医疗、教育等特定领域的数据安全要求。这些规范和政策针对不同行业的特点，对数据安全合规性提出了具体要求。9.1.3企业内部制度与规定企业内部制度与规定是数据安全合规性评估的重要依据。企业应根据自身业务特点，制定相应的数据安全管理制度、操作规程和应急预案，保证数据安全合规性。9.2合规性评估流程9.2.1评估准备在合规性评估前，需成立评估小组，明确评估目标和范围，收集相关资料，包括企业内部制度、国家标准、行业规范等。9.2.2评估实施评估小组按照评估标准，对企业数据安全管理制度、操作规程、应急预案等进行分析和审查。具体包括以下几个方面：（1）数据安全策略和目标是否符合国家标准和行业规范；（2）数据安全组织结构是否健全；（3）数据安全管理制度是否完善；（4）数据安全培训与宣传是否到位；（5）数据安全防护措施是否有效；（6）数据安全应急预案是否可行。9.2.3评估结果分析评估小组对评估结果进行分析，找出存在的不合规项，分析原因，并提出改进建议。9.2.4评估报告评估小组撰写评估报告，报告内容包括评估过程、评估结果、不合规项及改进建议等。9.3合规性整改与优化9.3.1整改措施针对评估报告中指出的问题，企业应制定整改措施，包括但不限于以下方面：（1）修订和完善数据安全管理制度；（2）加强数据安全培训与宣传；（3）提高数据安全防护能力；（4）完善数据安全应急预案；（5）建立健全数据安全组织结构。9.3.2整改实施企业应根据整改