信息安全不僅是技術問題，也是管理問題，沒有完善的管理，降低安全風險只是空談。

信息安全所受到的重視程度一直在上升，我國政府主管部門頻頻出臺一系列政策法規，直接牽引、推進信息安全的應用和發展，各類安全產品也層出不窮。然而，多方的重視并沒有緩解安全面臨的嚴峻形勢。

比如，很多企業習慣于在多處部署不同的安全產品以期達到全面的安全效果，但依賴于安全產品的簡單堆積來應對“日新月異”的攻擊手段和病毒傳播是無法持續有效的。相反，每個安全產品產生海量的安全事件造成嚴重的信息過載，各類安全產品“各自為政”，不同產品之間的安全信息無法共享，形成一個個“信息孤島”，管理員缺乏應付混合型安全威脅的能力。海量事件、定位困難、事件間不能關聯呈現，導致管理員無法及時準確地發現網絡中的安全隱患，進而加以處理。而安全事件不能及時處理往往會帶來更大更嚴重的危害。

實際上，信息安全只有通過實施一整套恰當的控制措施才能實現，這些控制措施包括策略、實踐、步驟、組織結構和軟件功能。信息安全管理的核心是安全風險管理，它涉及到多個要素: 資產、資產價值、威脅、脆弱性、風險 、防護需求、防護措施（它們之間的關系如附圖所示）。

分析安全管理的關系圖，我們不難發現，安全管理是一個動態管理的過程，會隨著時間的推移和業務的發展而變化。許多企業盡管擁有了先進而昂貴的信息安全設備，但“政策”或“人”往往無法配合，產生了很大問題。因為許多安全問題不是因為產品的功能不佳造成的。即使企業設置了層層關卡，仍可能因為被破解的管理者密碼、幫助臺維修后未關閉的開放權限、輕易被共享的網絡文件夾等管理盲點，為黑客及病毒開啟后門。因此，企業信息安全是管理問題，而非單純的技術問題。唯有完善的管理，才能降低安全風險，避免不必要的損失。為了做好安全管理，筆者建議從以下幾方面著手:

1． 提升組織的整體安全意識

要高度重視信息安全管理，切實加強領導，以高度的責任感進一步推進信息化建設和信息安全管理。對信息安全管理工作引起足夠的重視，在加強信息系統的軟硬件建設的同時，對信息安全管理工作也不能松懈和忽視。企業的信息安全政策不應再單單是信息部門的責任，企業對于組織安全的認知，應通過整體安全分析與定期安全檢查獲得提升。

2． 強化執行作業程序

一方面我們在信息化建設過程中嚴格執行信息安全標準，減少內部的弱點和威脅，使安全隱患不再有機可乘; 另一方面對于安全事件的處置，提倡強制實施應變作業流程，并針對特定目標提供安全訓練，協助建立必要的作業程序，以及時發現安全隱患、降低并控制安全事件的損害。

3． 提升應變能力

信息安全技術的日新月異，使得安全管理有著很大的不確定性。再嚴密的安保措施也不能保證網絡安全的萬無一失，因此必須增強信息安全管理的危機處理能力，將危機處理程序標準化，在危機來臨之際，采取有效措施，積極將損失減少到最小程度。同時針對各種安全事件擬定一套順暢且有效的應變措施，如為了封堵某一網絡蠕蟲病毒的傳播，自動配置防火墻，阻塞已中病毒主機的IP地址或者該病毒傳播所利用的TCP/UDP端口等等。

4． 構建安全環境

網絡安全和信息安全是信息資源共享的前提，發展信息化必須高度重視信息網絡安全體系的建設。積極爭取網絡安全認證機構的合作和支持，同時加強信息安全技術平臺的建設，加強企業內部的安全技術建設和監察管理工作，聯合有關部門嚴厲打擊危害計算機信息系統安全和利用計算機技術進行犯罪活動，保障行業信息安全。