企业信息安全建设作为企业信息化发展过程中必然面临和解决的问题，成为当前施工企业信息化发展中的一个焦点。

在谈到企业信息安全建设时，人们首要想到问题的可能就是购买杀毒软件。在单机时代还可以这样考虑，随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理发展到基于海量数据的分析与研究，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)以及全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断地提高。但在连接能力信息、流通能力提高的同时，基于信息安全的问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。

计算机安全问题，应该像每家每户的防火防盗问题一样，做到防范于未然。现今，信息安全控制已经成为了一个系统工程，不是说装个杀毒软件就控制得了系统安全，在单机时代信息安全所面临的压力远小于如今，企业电脑应用有如下特点，数据交换量大，文件种类复杂，电脑性能差别大，操作系统平台单一。现今病毒特点是，种类众多，更新速度快，破坏力强。事实上，除了杀毒软件，还有许许多多的安全软件值得企业用户去学习和借鉴。IDC曾在一份报告中指出，在未来几年内，安全软件这一领域的增长将为安全管理、访问授权、识别技术、安全内容管理、加密技术、防火墙/VPN技术、入侵检测，以及风险管理等几个产品领域分享。安全管理、访问授权、识别技术三种软件简称3A软件，用于保护计算机系统安全及企业网络应用的过程中的安全防范；安全内容管理软件用于扫描电子邮件、在线下载文件，管理Web内容安全；加密软件保护企业的重要信息不被盗窃、泄密；防火墙/VPN技术是通过识别威胁与附截通道以保护数据及应用；入侵检测产品主要用于及时监控并发现网络进出流量的异常与攻击行为点，实施主动防御；风险管理软件用于进行漏洞扫描和风险评估。

近期在各大媒体上发酵的一个事件也间接证明了安全软件的能力，某企业员工在办公网内为自己投递其他企业的招聘文件被企业发现，开除处理。一时间，个人隐私与信息安全进入人们的视野，从一个专业技术人员的角度去分析，在内网安全中，去识别信息流，是有效保障企业安全的一个手段，该企业在识别颗粒度上做的很细，导致个人隐私被识别，也是在所难免的。

国内企业早些年对信息安全的重视程度不够，随着信息化的发展，信息系统的建设与日俱增，加之国家这几年对信息安全也不断增加投入，信息安全逐步成为信息化建设中不可或缺的一部分。有报道指出，我国企业在信息安全方面的投入(主要是安全软件产品)相当有限，在国外，安全投入通常占到企业基础投入的5-20%，而在国内却很少有企业超过5%。

企业信息安全的建设在现今状态下，应注意从如下几个方向进行设计分析。

一、制定安全总体方针，确认安全建设目标

通过评估总体安全风险，确定安全纲领和总体方针，明确安全权利义务责任，有助于建立适用及高效的信息安全体系，尽可能的降低安全风险，提高组织的整体安全防护水平。

安全管理者还需要根据安全目标制定相应的安全规划，包括长期目标及中期目标，以及阶段性成果的短期目标，提高公司对信息安全的信心，从而获取更多的支持。

二、建立组织机构，确认角色责任

1.设立安全管理委员会，公司信息安全最高权利机构

信息安全管委员会主席应由高层管理层或全权代表担任，是信息安全总体负责人，总体协调工作由安全部门负责人负责，委员由内审合规部，人力资源部，法务部，政府关系以及各事业部的产品、技术负责人组成。

定期召集信息安全委员会会议，委员提交各种决议草案，战略计划、政策建议，待发布的制度等，由委员会共同讨论决策，如果针对某项决议委员会无法达成统一决议，由主席最后来决策。

安全委员会下设执行小组，根据具体事务，将各委员与专家组共同进行确认，如成本控制，变更控制，风险管理，重大安全事件响应，以及合规审计等。

2.专职的安全团队

每个公司都需要有一个专职的安全团队，执行安全管委会的指示，全面负责公司信息安全的具体工作；

三、人员管理，实现员工从入职到离职的全周期安全管理。

人员是公司最重要的信息资产，做为安全从业人员，你需要对人员进行有效的设计及管理，与人力资源部进行协作，降低相应的风险；设计安全培训体系，通过多种样式，让员工能够通过培训学习安全制度以及安全技能，从而提高员工安全意识。

四、选择造合企业的信息安全综合解决方案，构建适合本企业的安全信息平台

在有了制度、人员和技术的配比情况下，我们往往还需要有一套安全技术平台，通过信息平台及时了解企业信息安全整体运行情况，有助于技术人员及时分析、研判当前的信息安全形势。

在发生安全风险时，技术人员可以借助安全平台及时有效发现风险点，通过漏洞修复，安全手段加强等方式，筑牢企业的信息安全防线。

除此之外，我们在守护信息安全这个潘多拉时，也要因时求变，要把项目管理中的PDCA引入到安全管理中，所谓PDCA，即是计划(Plan)、实施(Do)、检查(Check)、行动(Action)的首字母组合。每一项安全工作都需要经过计划、执行计划、检查计划、对计划进行调整并不断改善这样四个阶段。对企业信息安全负责人来说，这是一个有效控制管理过程和工作质量的工具。采用PDCA可以使你的安全管理向良性循环的方向发展，通过实施并熟练运用。

最后笔者认为，公司信息安全除了有管理，技术，运营三个体系是不够的，应该还有一个安全审计体系，实现“权力应该放在笼子里”，安全审计将对安全组织的权利进行制约，同时对安全体系建设的成果进行考核和审计，会使安全体系更加有效。

罗马也不是一天就能建成的，安全体系建议也不是一下子就建好的，需要打好基础，循序渐进，一步一步来。