明確的安全要求使得公司有章可循，而且這些要求最終要體現(xiàn)在安全策略當(dāng)中。衡量一個信息安全策略的首要標(biāo)準(zhǔn)就是現(xiàn)實可行性。因此信息安全策略與現(xiàn)實業(yè)務(wù)狀態(tài)的關(guān)系是：信息安全策略既要符合現(xiàn)實的業(yè)務(wù)狀態(tài)，又要能滿足未來一段時間的業(yè)務(wù)發(fā)展要求。因此，企業(yè)根據(jù)自己的安全要求和實際情況，合理地制定安全策略是信息安全管理建設(shè)的基礎(chǔ)。

3.2 風(fēng)險評估

根據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對企業(yè)內(nèi)以信息資產(chǎn)進(jìn)行資產(chǎn)識別，其中信息資產(chǎn)包括：信息、人員、軟件和硬件以及系統(tǒng)的運行狀況與安全措施。

針對各個資產(chǎn)，對其進(jìn)行重要性評估時，將考慮資產(chǎn)在失去機(jī)密性、完整性和可用性等安全屬性對企業(yè)造成的危害，并評估該信息資產(chǎn)所面臨的威脅及其發(fā)生安全事件的可能性，并結(jié)合如果發(fā)生安全事件后所涉及的各方面損失來判斷安全事件可能對企業(yè)造成的影響。簡而言之，就是風(fēng)險計算，計算公式如下：

風(fēng)險級別（R）=資產(chǎn)重要性（V）*風(fēng)險發(fā)生可能性（L）

目前，實際工作中常使用的風(fēng)險評估途徑包括基線評估、詳細(xì)評估和組合評估三種。而在風(fēng)險評估過程中又有許多操作方法，如基于知識的分析方法、基于模型的分析方法、定性分析和定量分析等。無論采用哪種途徑和操作方法，共同的目的都是得到三個最主要的分析結(jié)果：資產(chǎn)保護(hù)等級分類、安全事件防護(hù)等級分類以及目前安全水平與企業(yè)安全需求間的差距。

3.3 設(shè)計實施

在完成風(fēng)險評估后，要在第一階段制定的安全策略的指導(dǎo)下，并根據(jù)風(fēng)險評估的結(jié)果設(shè)計詳細(xì)的信息安全保護(hù)實施方案。

首先，從整體和全局的角度規(guī)劃和建立一個合理的信息安全管理框架。從企業(yè)信息系統(tǒng)本身出發(fā)，對企業(yè)信息安全的不同層面進(jìn)行整體安全分析，根據(jù)企業(yè)業(yè)務(wù)特征、組織形式、信息資產(chǎn)狀況和技術(shù)條件，建立信息資產(chǎn)清單，進(jìn)行安全需求分析和需要的安全控制級別，從而提出相應(yīng)的安全解決方案。

安全解決方案的提出過程就是編寫一套信息安全管理體系文件，應(yīng)包含以下文檔：安全方針文檔、適用范圍文檔、風(fēng)險評估文檔、實施與控制文檔、適用性聲明文檔等。這些文件的編寫是建立信息安全管理體系的重要基礎(chǔ)，也是一個企業(yè)實現(xiàn)風(fēng)險控制和持續(xù)改進(jìn)管理體系必不可少的依據(jù)。

3.4 運行改進(jìn)

企業(yè)應(yīng)按照編制的信息安全管理體系文件要求進(jìn)行審核和批準(zhǔn)并發(fā)布實施后，至此信息安全管理體系進(jìn)入運行階段。在此期間，企業(yè)應(yīng)充分發(fā)揮管理體系本身的各項功能，及時找出管理體系中存在的問題，并采取糾正措施，按照更改要求對管理體系加以更改，以達(dá)到持續(xù)完善信息安全管理體系的目的。

信息安全管理體系的建立與實施，能從根本上強(qiáng)化員工的安全意識，規(guī)范信息安全行為，可以有效的降低和避免企業(yè)的信息資產(chǎn)安全風(fēng)險，增強(qiáng)了企業(yè)的競爭優(yōu)勢。而且管理體系是在動態(tài)的技術(shù)環(huán)境中進(jìn)行的，以預(yù)防為主的方式使企業(yè)以最低的成本支出達(dá)到可接受的信息安全水平。因此，建立完整的信息安全管理體系是為企業(yè)發(fā)展提供可靠的保障。

4 結(jié)束語

企業(yè)應(yīng)以戰(zhàn)略目標(biāo)為指導(dǎo)，以風(fēng)險管理為核心，以技術(shù)手段為支撐，嚴(yán)格按照以上四個階段構(gòu)建一套完善的信息安全管理體系，保障企業(yè)信息資產(chǎn)的安全。