信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。

 

        很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便宜。

        完整的企业信息系统安全管理体系首先要建立完善的组织体系，完成制定并发布信息安全管理规范和建立信息安全管理组织等工作，保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范，详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。

        企业应当制定企业人员信息安全行为规范，必须有专门管理人才，才能有效地实现企业安全、可靠、稳定运行，保证企业信息安全。教育培训是培训信息安全人才的重要手段，企业可以对所有相关人员进行经常性的安全培训，强化技术人员对信息安全的重视，提升使用人员的安全观念，有针对性的开展安全意识宣传教育，逐步提高员工的安全意识，强调人的作用，使他们明确企业各级组织和人员的安全权限和责任，使他们的行为符合整个安全策略的要求。