第一步內(nèi)容是保證人力的安全�！叭恕痹谀撤N程度上講也算是信息的資產(chǎn)的“攜帶者”。每一個(gè)信息化環(huán)節(jié)上的人員都有特定的角色扮演。而每一個(gè)角色擔(dān)當(dāng)需要經(jīng)過(guò)嚴(yán)格的聘用條件，選拔，以及雇傭保密協(xié)議的限制，這是從企業(yè)信息化在人員安全角度必須考慮的問(wèn)題。

       第二步是信息化系統(tǒng)的物理安全，需要對(duì)物理邊界進(jìn)行把控。例如企業(yè)日常辦公中的門禁系統(tǒng)，門禁權(quán)限分配與管理、權(quán)限申請(qǐng)與把控。

       第三步是對(duì)通信等網(wǎng)絡(luò)設(shè)備的安全管控。從廣義上的服務(wù)器，到狹義上的信息化安全產(chǎn)品的實(shí)施和規(guī)劃、驗(yàn)收、網(wǎng)絡(luò)的黑客攻防，網(wǎng)絡(luò)的安全管理，磁盤的備份都是需要做管控。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容。

       第四步是訪問(wèn)控制，企業(yè)對(duì)信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問(wèn)控制和人員把關(guān)，其中包括各種軟件的賬號(hào)管理、網(wǎng)絡(luò)設(shè)備登陸登出管理、權(quán)限變更、人員訪問(wèn)和等級(jí)劃分。

       第五步分是信息系統(tǒng)的獲取和開發(fā)。信息系統(tǒng)的開發(fā)一般包括ERP、CRM等各種軟件系統(tǒng)的開發(fā)和實(shí)施。在開發(fā)和實(shí)施過(guò)程中需要符合一點(diǎn)標(biāo)準(zhǔn)。如果企業(yè)自己開發(fā)的系統(tǒng)輸入和輸出有偏差，企業(yè)的CEO或者CIO可能會(huì)收到法律的制裁。特此外、除了企業(yè)自己開發(fā)外，企業(yè)購(gòu)買供應(yīng)商軟件產(chǎn)品時(shí)，也要要求供應(yīng)商提供相應(yīng)的資質(zhì)證明。企業(yè)一旦發(fā)生信息安全事故，信息安全事故的處理機(jī)制就顯得尤為重要。比如發(fā)現(xiàn)問(wèn)題、匯總問(wèn)題、問(wèn)題分析、事故處理、問(wèn)題回顧、再次檢測(cè)、事故報(bào)道撰寫、證據(jù)收集、案例調(diào)整等，都需要對(duì)信息安全進(jìn)行事故管理。