隨著信息技術的迅猛發展，為了確保企業經營戰略的實現和滿足業務快速發展的需要，越來越多的企業在運行各個環節中運用了信息技術。信息技術確實加速了企業的發展，同時這些企業也面臨著來自各個方面的信息安全威脅，包括系統安全漏洞、DDoS（Distributed Denial of Service分布式拒絕服務）攻擊、非法入侵、病毒感染、通信故障等，保護客戶和企業自身信息資產的保密性、完整性和可用性對提升服務水平和競爭力具有重要作用，因此建立全面可靠的信息安全管理體系是非常有必要的。

1 信息安全管理現狀

隨著信息化社會的來臨，信息資源對社會發展的重要程度越來越大。從人們日常生活、組織運作到國家管理，信息資源都是必不可少的重要資源，現代社會的生存和發展，都需要各種信息的支持。但是信息在社會中發揮越來越重要的作用的同時，與之而來的信息安全問題也變得日益突出，需要加以安全保護。

目前，許多標準化組織都提出了各自的信息安全管理的體系標準和控制模型，這些基于業務、技術與管理層面的標準在某些行業得到了很好的應用，并且信息安全管理工作也逐步納入公司的日程中，但是這項工作目前仍存在不少的問題，信息安全管理現狀依舊比較混亂，主要表現為以下幾方面：

由于缺乏權威、統一、專門的立法管理機構對國內信息安全管理進行組織、規劃、管理和實施協調，導致我國現有的一些信息安全管理沒有來自法律的推動力和約束；

在IT系統建設過程中信息安全管理并沒有得到充分考慮，導致后期管理工作和安全建設比較被動，同時造成信息安全管理建設與業務的發展及IT的建設不對稱；

安全管理缺乏系統管理的思想。被動應付多于主動防御，沒有做前期的預防，而是出現問題才去想補救的方法，缺乏科學的、全面的、動態的安全管理方法；

重視安全技術，忽略安全管理。企業多在防火墻、網路、主機及應用系統開發等安全技術上投資，而相應的管理水平、手段沒有體現；

在安全管理中不夠重視人的因素，缺乏懂得管理的信息安全技術人員；

企業安全意識薄弱，因為信息安全管理不僅僅需要CIO或CFO的參與，企業各層領導和員工的重視與參與也是必不可少的。

2 各項威脅對企業信息安全的影響

企業信息安全有太多的因素需要關心：自然災害、黑客攻擊、計算機病毒以及企業內部信息泄露。2011年大量信息安全事件中，索尼的數據泄漏是其中備受矚目的一個，索尼的PlayStation網絡于4月20日關閉，同時取證組開始調查索尼數據泄漏的范圍。截止到5月2日，該泄漏事件影響了大約1億人，索尼公司已經花費1.71億美元處理其數據泄漏所帶來的后果。一項調查顯示，中國內地企業在改善信息安全機制上仍有待努力，從近年安全事件結果看，中國每年大約98萬美元的財務損失，此外，42％的中國內地受訪企業經歷了應用軟件、系統和網絡的安全事件，信息安全給企業造成了巨大的損失。而目前企業面臨的主要威脅有以下幾種。

2.1 自然災害

由于近年來自然災害的多發，給計算機系統造成了一些不可挽回的破壞而引發了許多信息安全問題，但相對于其他因素來說，自然災害對信息安全的威脅算最小的，并且自然災害的威脅只可盡量減小而不可避免。

2.2 黑客與病毒

隨著計算機技術的發展，黑客的破壞力也日益擴大化，黑客傻瓜式工具的大量出現和黑客組織的形成導致的直接后果就是黑客技術的普及，網絡上隨便搜索一下，就能找到一大堆黑客技術交流網站。這些黑客站點提供黑客工具、公布系統漏洞、公開傳授黑客技術、進行黑客教學，甚至還有黑客組織通過論壇形式相互交流黑客技術經驗、協調黑客行動等。黑客事件的劇增、黑客組織規模的擴大、黑客站點的大量涌現，說明了黑客技術開始普及，同時黑客攻擊對于信息安全的威脅也越來越大。僅在美國，黑客攻擊每年造成的經濟損失就超過100億美元，可想而知，對于安全剛起步的中國破壞的影響程度有多大了。

而計算機病毒（惡意軟件）的使用是黑客攻擊常用的手段之一，計算機病毒的傳播不僅可以破壞計算機信息系統，還可以盜取各種秘密信息，嚴重危害著當今社會的信息安全。根據安全供營商McAfee（邁克菲）新發布的數據顯示，2010年前半年是McAfee進行惡意軟件保護更新的最活躍的六個月，在第二季度報告中，惡意軟件