隨著網絡規模的不斷擴大，以及業務對網絡穩健性需求的不斷強烈，信息安全成了CIO眼下最熱的話題之一。

記得兩年前的“沖擊波”嗎?這個病毒一下子讓無數企  
業網絡處于癱瘓狀態，造成的直接經濟損失規模大的驚人。如今企業都面臨著是否要信息化的選擇，信息安全也隨之成了信息化的重要一環。可令人費解的是，眾多企業寧可花大把的錢購買服務器、交換機，卻很少愿意掏合適的價錢去加強企業網絡的安全措施，難道信息安全對企業一無所用?

沒有幾家用戶敢說自己擁有無懈可擊的信息安全計劃。事實上，在確保業務信息的可用性、完整性以及機密性方面，各行各業的用戶都面臨或大或小的挑戰。

隨著安全威脅的與日俱增和日益復雜，越來越多的用戶開始采取更主動的方法來實現信息安全: 將安全現狀與確保業務連續性所需要的安全目標進行比較分析，以此確定存在的問題和不足，并積極采取有針對性的措施，從而向創建和實現保護關鍵資產所需的可靠架構邁出重要一步。

明確業務要求

一項信息安全計劃要想行之有效，就必須充分考慮人員、過程和技術三要素。因此用戶在確定存在安全差距時同樣需要考慮這些要素。

在確定差距時，用戶首先需要確定關鍵業務目標，然后概括出實現這些業務目標所需要的安全條件。這些業務目標和要求將成為企業制訂信息安全計劃的基準。接下來，用戶需要確定公司的長期戰略目標、業務環境可能發生的變化、高優先級的安全問題以及其他戰略戰術問題。

細分評估過程

以業務需求分析作基礎，接下來用戶需要將企業當前的安全架構與信息安全計劃的目標進行比較。這是一個費時、費力的過程。如果將人員、過程和技術評估細分到三個關鍵領域―戰略、組件與管理，這個過程就會得到大大簡化。

利用簡單的評分方法對關鍵領域進行分級，可以使評估工作更加容易進行。例如，零分表示完全沒有實現，1分表示部分實現，2分表示全面實現。不過，對于許多用戶來說，確定評估標準才是問題的關鍵。

回答一些關鍵問題，可以幫助用戶有效地確定評估標準和劃分信息安全計劃的等級。每個問題的答案都利用相同的評定標準進行打分，這樣用戶就可以確定需要改進的領域。

在評估有關人員要素的戰略時，用戶可以詢問以下問題：是否以書面形式制定了信息安全戰略，戰略是否定期更新，是否涉及一致性檢測或認證，公司將信息安全戰略定性為被動的還是主動的。

在評估人員要素的組件時，用戶可以詢問以下問題: 是否擁有專職信息安全人員，是否由相應稱職的人員來領導，是否有正在執行的培訓計劃等等。

在評估人員要素的管理問題時，可以通過以下問題來確定：是否定期向行政管理人員提交狀況報告，行政管理人員是否擁有信息安全計劃，信息安全計劃是否可以強制執行等等。

在評估信息安全計劃的過程與技術要素時，可以詢問以下相關問題：信息安全過程和策略便于通過公司的內部網查看嗎?安全過程組件部署到位了嗎?(安全過程組件包括賬戶管理、安全意識、應急響應、安全漏洞掃描和可以接受的使用組件。)安全技術部署到位了嗎?(安全技術包括防病毒軟件、防火墻、安全漏洞管理和入侵檢測系統。)

制訂路線圖與實施

一旦確定信息安全現狀與理想狀態的差距，用戶就可以動手制訂路線圖，以彌補當前與未來信息安全計劃之間的差距。利用從業務需求分析和差距分析中得到的信息，用戶可以開發所希望的安全架構。

行之有效的路線圖通常為彌補信息安全差距提供多種方案。路線圖應當包括今后兩年的戰略計劃以及更長遠的計劃。用戶可以選擇符合業務優先重點的路線。公司應當對進展情況進行密切監視，以確保改進持續進行，并不斷得到管理層的支持。

通過確定關鍵業務需求、分析信息安全架構的當前狀況、劃定未來需要改進的領域以及為實現信息安全目標制定靈活的路線圖，用戶可以大大加強自己的安全優勢。

隨著保護信息資產的人員、過程和技術部署的到位，用戶就擁有了確保信息保密性、完整性和可用性所需要的資源。