對于企業安全管理具體涵蓋的內容，網絡安全專家認為，首先要明確企業的哪些資產需要保護：企業必須花費時間與精力來首先確定關鍵數據和相關的業務支持技術資產的價值。通常，各公司認為表述資產的價值是很容易的，但具體如要按級別界定就不那么簡單。

對此，就需要用安全廠商與企業共同制定規范以確定需要保護的資產的安全級別，并為制定切實可行的安全管理策略打下基礎。其次，還需完成威脅識別及風險評估的任務：如果企業想增強競爭實力，必須隨時改進和更新系統和網絡，但是機會增加常伴隨著安全風險的增加，尤其是機構的數據對更多用戶開放的時候——因為技術越先進，安全管理就越復雜。所以企業為了消除安全隱患，下一步就需要安全廠商與企業一起必須要對現有的網絡、系統、應用進行相應的風險評估，確定在企業的具體環境下到底存在哪些安全漏洞和安全隱患。

再次是在此基礎上，制定并實施安全策略，完成安全策略的責任分配，設立安全標準：幾乎所有企業目前都有信息安全策略，只不過許多策略都沒有書面化，只作為完成任務的一種手段。恰當的信息安全策略必須與機構的所有業務需求直接相關。它基于幾類安全標準。標準分類將使企業能發現違反策略的行為，并指出每個區域的漏洞或潛在安全威脅區。最后，企業安全管理還應包括安全廠商與企業共同組織的對企業安全管理人員進行安全培訓，以便維護和管理整個安全方案的實施和運行情況。

信息安全問題之所以成為企業管理中很難解決的一個問題的主要原因在于：信息資產與物理資產的差異性。一般而言，信息資產與物理資產的基本區別是，信息資產是動態變化的，而物理資產是固定不變的。信息資產在許多方面表現出動態特征---從信息以運行數據（客戶帳戶、業務交易等）的形式產生開始，直到在各種業務功能和過程中最終的應用（ERP，CRM，商業智能）。IT界為信息生命周期的每一個階段推出了許多單一性的產品。這些產品分別用于解決生命周期中某個方面的問題，包括信息的生成、處理、分布、存檔、檢索和處置。某一種信息資產在生命周期的每一個階段各有其價值。而且，一般來說它的價值會隨著生命周期的進展而增加。因此，企業的這種動態資產在其進展的每一步中必須受到保護，以防止外部和內部的威脅。遺憾的是，技術廠商們至今并不能出色地提供這些產品功能以保護信息安全。

由于IT是管理企業不可缺少的工具，公司董事會和經理們如何履行他們的基本職責以保護公司最有價值并且是動態的資產---公司信息的整體？當然，對于常見和已知的安全薄弱環節，現在和將來會不斷出現新的產品，例如，防病毒，防火墻以及加密等。正如我們已經論述的，技術手段是必要的，但不足以解決信息資產保護的全部問題。完整地看，還有其它方面要考慮---與技術結合在一起。