明確的安全要求使得公司有章可循，而且這些要求最終要體現(xiàn)在安全策略當中。衡量一個信息安全策略的首要標準就是現(xiàn)實可行性。因此信息安全策略與現(xiàn)實業(yè)務狀態(tài)的關系是：信息安全策略既要符合現(xiàn)實的業(yè)務狀態(tài)，又要能滿足未來一段時間的業(yè)務發(fā)展要求。因此，企業(yè)根據自己的安全要求和實際情況，合理地制定安全策略是信息安全管理建設的基礎。

3.2 風險評估

根據有關信息安全技術與管理標準，對企業(yè)內以信息資產進行資產識別，其中信息資產包括：信息、人員、軟件和硬件以及系統(tǒng)的運行狀況與安全措施。

針對各個資產，對其進行重要性評估時，將考慮資產在失去機密性、完整性和可用性等安全屬性對企業(yè)造成的危害，并評估該信息資產所面臨的威脅及其發(fā)生安全事件的可能性，并結合如果發(fā)生安全事件后所涉及的各方面損失來判斷安全事件可能對企業(yè)造成的影響。簡而言之，就是風險計算，計算公式如下：

風險級別（R）=資產重要性（V）*風險發(fā)生可能性（L）

目前，實際工作中常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。而在風險評估過程中又有許多操作方法，如基于知識的分析方法、基于模型的分析方法、定性分析和定量分析等。無論采用哪種途徑和操作方法，共同的目的都是得到三個最主要的分析結果：資產保護等級分類、安全事件防護等級分類以及目前安全水平與企業(yè)安全需求間的差距。

3.3 設計實施

在完成風險評估后，要在第一階段制定的安全策略的指導下，并根據風險評估的結果設計詳細的信息安全保護實施方案。

首先，從整體和全局的角度規(guī)劃和建立一個合理的信息安全管理框架。從企業(yè)信息系統(tǒng)本身出發(fā)，對企業(yè)信息安全的不同層面進行整體安全分析，根據企業(yè)業(yè)務特征、組織形式、信息資產狀況和技術條件，建立信息資產清單，進行安全需求分析和需要的安全控制級別，從而提出相應的安全解決方案。

安全解決方案的提出過程就是編寫一套信息安全管理體系文件，應包含以下文檔：安全方針文檔、適用范圍文檔、風險評估文檔、實施與控制文檔、適用性聲明文檔等。這些文件的編寫是建立信息安全管理體系的重要基礎，也是一個企業(yè)實現(xiàn)風險控制和持續(xù)改進管理體系必不可少的依據。

3.4 運行改進

企業(yè)應按照編制的信息安全管理體系文件要求進行審核和批準并發(fā)布實施后，至此信息安全管理體系進入運行階段。在此期間，企業(yè)應充分發(fā)揮管理體系本身的各項功能，及時找出管理體系中存在的問題，并采取糾正措施，按照更改要求對管理體系加以更改，以達到持續(xù)完善信息安全管理體系的目的。

信息安全管理體系的建立與實施，能從根本上強化員工的安全意識，規(guī)范信息安全行為，可以有效的降低和避免企業(yè)的信息資產安全風險，增強了企業(yè)的競爭優(yōu)勢。而且管理體系是在動態(tài)的技術環(huán)境中進行的，以預防為主的方式使企業(yè)以最低的成本支出達到可接受的信息安全水平。因此，建立完整的信息安全管理體系是為企業(yè)發(fā)展提供可靠的保障。

4 結束語

企業(yè)應以戰(zhàn)略目標為指導，以風險管理為核心，以技術手段為支撐，嚴格按照以上四個階段構建一套完善的信息安全管理體系，保障企業(yè)信息資產的安全。