不论甲方还是乙方,首先要有这个安全意识,我觉得你考虑到的这几种做法是应该做的,还应该从国家对于信息安全等级的要求来做,比如,一个行业或者系统按照等级保护要求是几级的,这个安全等级都有那些要求等情况要清楚,然后如果自己有这个能力,就按照你这几个考虑去做。
但我觉得还是先按照国家安全等级保护相关要求,请具有国家确认资质的等级保护测评部门做安全等级保护测评,然后再按照安全测评发现的问题做整改,整改完成后再经过测评确认(此过程首次建议做二次比较好),最后要按照安全等级保护要求到公安网警部门进行备案,以后每年按照等级保护的不同等级要求(等级保护三级以上的,每年公安网警都会督促检查,发现问题会给出整改通知书)做等级保护测评,以及自己的安全管理要求,进行检查,整改以及日常安全管理工作。
另外,我们从事IT信息工作的同仁都要有这个安全意识,多多关注信息安全方面的内容,6月1号国家《网络安全法》就要正式施行了,不要因为安全意识不强,违犯法律还不知道。