明確的安全要求使得公司有章可循，而且這些要求最終要體現在安全策略當中。衡量一個信息安全策略的首要標準就是現實可行性。因此信息安全策略與現實業務狀態的關系是：信息安全策略既要符合現實的業務狀態，又要能滿足未來一段時間的業務發展要求。因此，企業根據自己的安全要求和實際情況，合理地制定安全策略是信息安全管理建設的基礎。

3.2 風險評估

根據有關信息安全技術與管理標準，對企業內以信息資產進行資產識別，其中信息資產包括：信息、人員、軟件和硬件以及系統的運行狀況與安全措施。

針對各個資產，對其進行重要性評估時，將考慮資產在失去機密性、完整性和可用性等安全屬性對企業造成的危害，并評估該信息資產所面臨的威脅及其發生安全事件的可能性，并結合如果發生安全事件后所涉及的各方面損失來判斷安全事件可能對企業造成的影響。簡而言之，就是風險計算，計算公式如下：

風險級別（R）=資產重要性（V）*風險發生可能性（L）

目前，實際工作中常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。而在風險評估過程中又有許多操作方法，如基于知識的分析方法、基于模型的分析方法、定性分析和定量分析等。無論采用哪種途徑和操作方法，共同的目的都是得到三個最主要的分析結果：資產保護等級分類、安全事件防護等級分類以及目前安全水平與企業安全需求間的差距。

3.3 設計實施

在完成風險評估后，要在第一階段制定的安全策略的指導下，并根據風險評估的結果設計詳細的信息安全保護實施方案。

首先，從整體和全局的角度規劃和建立一個合理的信息安全管理框架。從企業信息系統本身出發，對企業信息安全的不同層面進行整體安全分析，根據企業業務特征、組織形式、信息資產狀況和技術條件，建立信息資產清單，進行安全需求分析和需要的安全控制級別，從而提出相應的安全解決方案。

安全解決方案的提出過程就是編寫一套信息安全管理體系文件，應包含以下文檔：安全方針文檔、適用范圍文檔、風險評估文檔、實施與控制文檔、適用性聲明文檔等。這些文件的編寫是建立信息安全管理體系的重要基礎，也是一個企業實現風險控制和持續改進管理體系必不可少的依據。

3.4 運行改進

企業應按照編制的信息安全管理體系文件要求進行審核和批準并發布實施后，至此信息安全管理體系進入運行階段。在此期間，企業應充分發揮管理體系本身的各項功能，及時找出管理體系中存在的問題，并采取糾正措施，按照更改要求對管理體系加以更改，以達到持續完善信息安全管理體系的目的。

信息安全管理體系的建立與實施，能從根本上強化員工的安全意識，規范信息安全行為，可以有效的降低和避免企業的信息資產安全風險，增強了企業的競爭優勢。而且管理體系是在動態的技術環境中進行的，以預防為主的方式使企業以最低的成本支出達到可接受的信息安全水平。因此，建立完整的信息安全管理體系是為企業發展提供可靠的保障。

4 結束語

企業應以戰略目標為指導，以風險管理為核心，以技術手段為支撐，嚴格按照以上四個階段構建一套完善的信息安全管理體系，保障企業信息資產的安全。