數目達到了最高，發現了一千多萬個新的惡意軟件，而第一季度發現的惡意軟件數只有一百萬。如果企業對自己的信息進行嚴密的監控，惡意軟件可能會悄悄地潛伏進企業核心計算機，直到兒周或幾個月后才發現企業的信息已經被盜走了，企業的損失將是無法估量的。

2.3 移動設備的漏洞

據3M委托進行的《2010年可視數據泄漏風險評估研究》報告指出，多于70％的公司仍然沒有制定明確的政策來控制員工在公共場所工作時可以使用哪些設備連接網絡。而經常出差的員工需要通過公司外部設備能夠隨時隨地的通過Internet接入公司的網絡，從而對公司的信息安全提出了一系列的挑戰，員工的筆記本電腦和U盤需要使用2種以上的安全控制手段來實現綜合加密，同時企業需要部署和強制執行嚴格的移動辦公安全策略。

另外，硬件技術的發展使得移動介質有能力將海量數據存儲到一個便攜設備中，并且這些移動設備時常被帶出公司。所以IT安全策略應當要求任何通過USB接口移動的數據或使用類似方式來建立連接的介質都必須在加密的基礎上進行。而且這些介質類型絕不可以被用來做任何數據的單獨拷貝，特別是重要任務或者企業機密，并嚴格限制它們用于臨時性的數據傳輸。

2.4 對科技過于依賴

許多領導認為裝好了頂級殺毒軟件或者最新的防火墻，他們的系統安全就有保障了。但實際上，如果防火墻沒有正確配置，防病毒軟件也沒有進行更新和升級，有跟沒有是一樣。

在特定環境下正確設置防火墻需要很高的技巧。它不是一項設置完就可以丟到腦后的工作，它要比安裝殺病毒軟件清除惡意軟件復雜得多。防火墻需要經常調整以滿足最新的要求，當一個新的端口掃描攻擊出現時，必須在幾周內阻斷會受其影響的那些端口，了解最容易被攻擊的10個端口，把計算機安全組織SANS的網頁加入收藏夾。對于防病毒程序，不僅僅要及時升級，還必須要留意最新的彌補反病毒軟件自身缺陷的補丁。

反間諜軟件要比反病毒軟件簡單得多，所以很少需要打補丁。盡管如此，它們也要和反病毒軟件一樣要注意經常下載最新的數據庫文件。最后，如果忽視安全檢測程序發出的報告，所有的安全裝置都會失去意義。

2.5 內部威脅

前面所談論的威脅和危險均來自于外部網絡，但正如許多企業所了解的那樣，最難以防范的安全威脅來自于組織內部。

將公司的整個內部網絡按域劃分，實現部門級別的權限管理。每個部門內的每個員工在文件服務器上都有互相獨立的存儲空間。但是如果部門內的員工可以讀、更改、刪除另一個業務員在文件服務器中文件夾里面的資料，那么威脅同樣存在。所以訪問權限的設置應該體現實際的安全需求：部門之間禁止互相訪問，同時對訪問權限加以嚴格控制，每個訪問者進行的操作及其操作對象都應該記錄下來。

3 基于生命周期分析信息安全管理體系

為了保障企業的信息安全，就需要建立可靠的信息安全管理體系。而技術是不斷發展的，并且機構的業務也經常會發生變化，因此為保障信息安全所使用的管理制度和技術措施也必須發生相應的調整和變化。現在關于信息安全建設已經達成一個共識：它是一個動態的、整體的、持續性的過程，企業不僅要進行安全建設，而且要根據技術的發展和業務的變更不斷地進行評估，并在此基礎上對已有的安全措施和設施進行調整、完善。

根據對目前信息安全管理體系的調查研究，一般信息安全建設和管理的生命周期分為四個階段：調研策劃，風險評估，設計實施，運行改進。因此，將企業的業務特點與信息安全建設管理的生命周期中的每個環節緊密結合起來，才能構建適合企業的信息安全管理體系。

3.1 調研策劃

對企業所處的環境進行調研是建設信息安全管理體系必不可少的工作，它是策劃的依據。在這部分工作中，需要深入調查分析企業所處的國內外宏觀環境、行業環境、企業所具有的優勢與劣勢、面臨的發展機遇與威脅等。同時分析企業戰略目標，理解企業發展戰略在產業結構、核心競爭力、產品結構、組織結構、市場和企業文化等方面的定位。在此基礎上，通過分析明確上述各要素與信息技術特點之間的潛在關系，從而確定信息技術應用的驅動因素，使信息安全管理與企業戰略目標實現融合。

由于安全是相對的，安全技術也是不斷發展進步的，因此企業應有一個合理和