随着信息技术的高速发展和计算机技术及网络技术的广泛应用，信息系统在企业经营战略中的作用和地位日趋重要，企业对信息系统的依赖性也在不断增长。随之，信息安全问题也变得日益突出，信息系统的脆弱性也日渐凸显。

　　一、信息安全威胁

　　我们要对企业信息网络可能面临的安全威胁和安全问题进行系统地分析，形成完整的安全需求，才能构造符合企业实际的、可操控性的信息安全体系。

　　1.可能面临的安全威胁

　　物理安全风险。包括：计算机系统的设备、设施、媒体和信息面临因自然灾害(火灾、水灾、地震)、环境事故(断电、鼠患等)、人为操作失误、以及不法分子通过物理手段进行违法犯罪等风险。

　　数据安全风险。包括：竞争性业务的经营和管理数据泄漏，客户数据(尤其是大客户资料)泄漏、数据被人为恶意篡改或破坏等。

　　网络安全风险。包括：病毒造成网络瘫痪与拥塞、内部或外部人为恶意破坏造成网络设备瘫痪、来自互联网黑客的非法入侵威胁等。

　　业务中断风险。以上风险都可能造成企业业务中断，甚至造成企业重大损失和恶劣社会影响，造成企业品牌和信誉。

　　2.可能存在的安全问题

　　(1)信息网络系统建设规划上的不完善

　　信息网络建设初期，是以保证企业应用的功能和性能为主的，没有将信息安全作为系统的主要功能之一。虽然利用当时的技术手段采取了一些安全措施，但安全保护措施较为零散，缺乏整体性与系统性，对于信息网络的安全保护缺乏统一的、明确的指导思想，这是引发安全问题的主要源头。

　　1.3 信息网络运行维护阶段

　　·建立有效的安全管理组织架构，明确各级人员职责，理顺流程，制定完善的安全管理制度，实施高效管理。

　　·建立多应急预案体系，保证信息网络不问断运行，例如：设备故障应急预案、网络中断应急预案、灾备系统应急等。

　　·加强对物理场所的安全管理，包括人员出入管理、机房物理安全管理、消防安全管理等。

　　·加强安全技术和管理培训。大多损害是出自内部人员的情况，必须加强对内部人员的管理(包括技术人员和营业人员)和教育，让相关人员知法懂法。

　　·加强对安全管理制度的执行力度和违规行为的处罚力度。

　　1.4 系统及设备报废阶段

　　对于已过期的保密信息(纸质文档、电子文档等)，要及时、集中销毁；对于报废设备处理时也要销毁遗存在设备上涉及安全的信息。

　　2.建立动态的闭环管理流程

　　企业的信息网络是一个处在不断的建设、调整、再建设、再调整的过程，新的安全漏洞和设计缺陷总是不断地被发现，单纯的静态管理流程已经不能满足要求的，需要建立动态的、闭环的管理流程。动态、闭环的管理流程就是要在企业整体安全策略的控制和指导下，通过安全评估和检测工具及时了解信息网络中存在的安全问题和安全隐患，据此制定安全建设规划和安全加固方案，综合应用各种安全防护产品，将系统逐步调整到相对安全的状态。

　　总之，信息安全管理体系的建立是一个目标累加、持续改进完善的过程，是需要企业从上到下的参与和重视，不同的企业应根据自身的特点和具体情况，采取不同的步骤和方法，将企业的安全风险控制在可接受的范围内，才能保证企业业务的持续性和企业效益的最大化。