网络高速发展伴随着信息化的全面普及，随之而来的网络信息安全问题也变得尤为突出，怎样在建设企业信息化的同时，更好的做到信息安全的保护，现已成为如今企业信息安全工作的重中之重了。

　　一、组织

　　信息安全组织是企业网络信息安全管理最为重要的一个基础，一个覆盖全员的信息安全组织是企业网络信息安全管理的基础。同时，良好的网络信息安全组织有助于企业的各类信息安全意见和建议也能够得到迅速的反馈。

　　二、责任划分

　　信息安全关乎到的绝非企业某一个人、一个部门可以负担的。企业中的每个部门、每个岗位都应当承担起本部门管辖范围内的信息资产保护责任。

　　一个企业的信息资产分布的企业各个部门、各个岗位，可能导致信息资产不安全的风险也存在于各个部门和各个岗位。因此，只有明确各个岗位的网络信息安全责任，才能真正有效的形成群防群策的网络信息安全局面，真正的保护好企业的网络信息安全。

　　在这一点上，很多企业实行“业务谁主管、安全谁负责”的原则是一个非常好的开端。与之相反，很多企业在出现诸如信息泄露等事件时，仅追究越权窃密者的责任，而不去调查被窃密者对企业信息资产疏于保护的责任，则显然不利于企业信息资产的保护。

　　三、资产管理

　　信息安全，本质上讲就是保护企业的信息资产安全。但是很多企业对于自己有哪些信息资产却无法说清，因此建立一份企业信息资产清单就显得尤为必要。这份资产清单应当成为企业网络信息安全管理的作战地图，有哪些信息资产、谁负责、谁使用、哪些重要都要清清楚楚明明白白。

　　对于一个成熟的企业而言，业务流程相应规范，流程中每个节点应当输出的文档和数据也相应明确，各类固定资产的管理也十分清晰。建立信息资产清单的任务，即可以通过相关的业务流程、物理资产台账等相关责任部门引申而来，从而提高效率降低成本。

　　四、风险控制

　　“没有绝对的安全”，只要企业还在运营，网络信息安全风险就永远存在。企业进行网络信息安全管理时，切忌抱有实现“绝对”安全的幻想。网络信息安全管理的投入应当遵循“二八法则”的原理，集中80%的资源去处置20%的安全风险，严格控制ROI（投资回报率）。定期对企业的信息资产进行风险评估和分级是一个很好的做法。

　　五、资金投入

　　企业网络信息安全的投入要结合企业本身实际，不要盲目为建立网络信息安全而进行安全建设，要有的放矢，集中优势资源解决重点矛盾问题。网络信息安全是一个动态发展变化的形态，现在看是安全的形势，也许在一个月甚至更短的时间就变成不安全的形态，因此，企业在网络信息安全的资金投入要保持慎重，可分步骤实现，防范资金投入的浪费。

　　有些网络信息安全的防范措施也可以适度降级，减少资金投入。例如，对于非重要的信息系统，建立双活的冗余机制是最佳；如果企业网络信息安全建设资金有限，那么采用冷备的方式也是一种很好的选择。

　　六、技术支撑

　　信息安全技术可分为两部分理解。首先是技术的bug，伴随着信息技术的发展，企业很多信息资产都是承载在各种不同的信息系统或设备中。对于这些信息资产，应当充分评估承载其的信息系统和设备可能存在的安全风险；其次，伴随着信息技术发展，信息安全技术也在不断的发展。了解和选择合适的信息安全技术，能够有效的提升网络信息安全管理的效果和效率，同时也降低网络信息安全管理带来的负面作用。

　　七、人员管控

　　“人”永远是网络信息安全管理中不可回避的一个话题。人的主动性使得“人”成为网络信息安全管理过程中最大的不可控因素。

　　企业网络信息安全管理应当通过宣贯、培训、合约、法律等各种手段，持续、反复向企业全体人员灌输各种安全技能、安全要求和安全知识，让保护企业信息资产成为全体员工的一种本能；同时借助采用第三方安全服务也是一种可行性措施。只有通过持续学习、总结经验，才能不断提升企业网络信息安全的防护能力。