明確的安全要求使得公司有章可循，而且這些要求最終要體現(xiàn)在安全策略當(dāng)中。衡量一個(gè)信息安全策略的首要標(biāo)準(zhǔn)就是現(xiàn)實(shí)可行性。因此信息安全策略與現(xiàn)實(shí)業(yè)務(wù)狀態(tài)的關(guān)系是：信息安全策略既要符合現(xiàn)實(shí)的業(yè)務(wù)狀態(tài)，又要能滿足未來一段時(shí)間的業(yè)務(wù)發(fā)展要求。因此，企業(yè)根據(jù)自己的安全要求和實(shí)際情況，合理地制定安全策略是信息安全管理建設(shè)的基礎(chǔ)。

3.2 風(fēng)險(xiǎn)評(píng)估

根據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)企業(yè)內(nèi)以信息資產(chǎn)進(jìn)行資產(chǎn)識(shí)別，其中信息資產(chǎn)包括：信息、人員、軟件和硬件以及系統(tǒng)的運(yùn)行狀況與安全措施。

針對(duì)各個(gè)資產(chǎn)，對(duì)其進(jìn)行重要性評(píng)估時(shí)，將考慮資產(chǎn)在失去機(jī)密性、完整性和可用性等安全屬性對(duì)企業(yè)造成的危害，并評(píng)估該信息資產(chǎn)所面臨的威脅及其發(fā)生安全事件的可能性，并結(jié)合如果發(fā)生安全事件后所涉及的各方面損失來判斷安全事件可能對(duì)企業(yè)造成的影響。簡(jiǎn)而言之，就是風(fēng)險(xiǎn)計(jì)算，計(jì)算公式如下：

風(fēng)險(xiǎn)級(jí)別（R）=資產(chǎn)重要性（V）*風(fēng)險(xiǎn)發(fā)生可能性（L）

目前，實(shí)際工作中常使用的風(fēng)險(xiǎn)評(píng)估途徑包括基線評(píng)估、詳細(xì)評(píng)估和組合評(píng)估三種。而在風(fēng)險(xiǎn)評(píng)估過程中又有許多操作方法，如基于知識(shí)的分析方法、基于模型的分析方法、定性分析和定量分析等。無論采用哪種途徑和操作方法，共同的目的都是得到三個(gè)最主要的分析結(jié)果：資產(chǎn)保護(hù)等級(jí)分類、安全事件防護(hù)等級(jí)分類以及目前安全水平與企業(yè)安全需求間的差距。

3.3 設(shè)計(jì)實(shí)施

在完成風(fēng)險(xiǎn)評(píng)估后，要在第一階段制定的安全策略的指導(dǎo)下，并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果設(shè)計(jì)詳細(xì)的信息安全保護(hù)實(shí)施方案。

首先，從整體和全局的角度規(guī)劃和建立一個(gè)合理的信息安全管理框架。從企業(yè)信息系統(tǒng)本身出發(fā)，對(duì)企業(yè)信息安全的不同層面進(jìn)行整體安全分析，根據(jù)企業(yè)業(yè)務(wù)特征、組織形式、信息資產(chǎn)狀況和技術(shù)條件，建立信息資產(chǎn)清單，進(jìn)行安全需求分析和需要的安全控制級(jí)別，從而提出相應(yīng)的安全解決方案。

安全解決方案的提出過程就是編寫一套信息安全管理體系文件，應(yīng)包含以下文檔：安全方針文檔、適用范圍文檔、風(fēng)險(xiǎn)評(píng)估文檔、實(shí)施與控制文檔、適用性聲明文檔等。這些文件的編寫是建立信息安全管理體系的重要基礎(chǔ)，也是一個(gè)企業(yè)實(shí)現(xiàn)風(fēng)險(xiǎn)控制和持續(xù)改進(jìn)管理體系必不可少的依據(jù)。

3.4 運(yùn)行改進(jìn)

企業(yè)應(yīng)按照編制的信息安全管理體系文件要求進(jìn)行審核和批準(zhǔn)并發(fā)布實(shí)施后，至此信息安全管理體系進(jìn)入運(yùn)行階段。在此期間，企業(yè)應(yīng)充分發(fā)揮管理體系本身的各項(xiàng)功能，及時(shí)找出管理體系中存在的問題，并采取糾正措施，按照更改要求對(duì)管理體系加以更改，以達(dá)到持續(xù)完善信息安全管理體系的目的。

信息安全管理體系的建立與實(shí)施，能從根本上強(qiáng)化員工的安全意識(shí)，規(guī)范信息安全行為，可以有效的降低和避免企業(yè)的信息資產(chǎn)安全風(fēng)險(xiǎn)，增強(qiáng)了企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。而且管理體系是在動(dòng)態(tài)的技術(shù)環(huán)境中進(jìn)行的，以預(yù)防為主的方式使企業(yè)以最低的成本支出達(dá)到可接受的信息安全水平。因此，建立完整的信息安全管理體系是為企業(yè)發(fā)展提供可靠的保障。

4 結(jié)束語

企業(yè)應(yīng)以戰(zhàn)略目標(biāo)為指導(dǎo)，以風(fēng)險(xiǎn)管理為核心，以技術(shù)手段為支撐，嚴(yán)格按照以上四個(gè)階段構(gòu)建一套完善的信息安全管理體系，保障企業(yè)信息資產(chǎn)的安全。