隨著信息技術(shù)的迅猛發(fā)展，為了確保企業(yè)經(jīng)營戰(zhàn)略的實現(xiàn)和滿足業(yè)務(wù)快速發(fā)展的需要，越來越多的企業(yè)在運行各個環(huán)節(jié)中運用了信息技術(shù)。信息技術(shù)確實加速了企業(yè)的發(fā)展，同時這些企業(yè)也面臨著來自各個方面的信息安全威脅，包括系統(tǒng)安全漏洞、DDoS（Distributed Denial of Service分布式拒絕服務(wù)）攻擊、非法入侵、病毒感染、通信故障等，保護(hù)客戶和企業(yè)自身信息資產(chǎn)的保密性、完整性和可用性對提升服務(wù)水平和競爭力具有重要作用，因此建立全面可靠的信息安全管理體系是非常有必要的。

1 信息安全管理現(xiàn)狀

隨著信息化社會的來臨，信息資源對社會發(fā)展的重要程度越來越大。從人們?nèi)粘Ｉ睢⒔M織運作到國家管理，信息資源都是必不可少的重要資源，現(xiàn)代社會的生存和發(fā)展，都需要各種信息的支持。但是信息在社會中發(fā)揮越來越重要的作用的同時，與之而來的信息安全問題也變得日益突出，需要加以安全保護(hù)。

目前，許多標(biāo)準(zhǔn)化組織都提出了各自的信息安全管理的體系標(biāo)準(zhǔn)和控制模型，這些基于業(yè)務(wù)、技術(shù)與管理層面的標(biāo)準(zhǔn)在某些行業(yè)得到了很好的應(yīng)用，并且信息安全管理工作也逐步納入公司的日程中，但是這項工作目前仍存在不少的問題，信息安全管理現(xiàn)狀依舊比較混亂，主要表現(xiàn)為以下幾方面：

由于缺乏權(quán)威、統(tǒng)一、專門的立法管理機(jī)構(gòu)對國內(nèi)信息安全管理進(jìn)行組織、規(guī)劃、管理和實施協(xié)調(diào)，導(dǎo)致我國現(xiàn)有的一些信息安全管理沒有來自法律的推動力和約束；

在IT系統(tǒng)建設(shè)過程中信息安全管理并沒有得到充分考慮，導(dǎo)致后期管理工作和安全建設(shè)比較被動，同時造成信息安全管理建設(shè)與業(yè)務(wù)的發(fā)展及IT的建設(shè)不對稱；

安全管理缺乏系統(tǒng)管理的思想。被動應(yīng)付多于主動防御，沒有做前期的預(yù)防，而是出現(xiàn)問題才去想補(bǔ)救的方法，缺乏科學(xué)的、全面的、動態(tài)的安全管理方法；

重視安全技術(shù)，忽略安全管理。企業(yè)多在防火墻、網(wǎng)路、主機(jī)及應(yīng)用系統(tǒng)開發(fā)等安全技術(shù)上投資，而相應(yīng)的管理水平、手段沒有體現(xiàn)；

在安全管理中不夠重視人的因素，缺乏懂得管理的信息安全技術(shù)人員；

企業(yè)安全意識薄弱，因為信息安全管理不僅僅需要CIO或CFO的參與，企業(yè)各層領(lǐng)導(dǎo)和員工的重視與參與也是必不可少的。

2 各項威脅對企業(yè)信息安全的影響

企業(yè)信息安全有太多的因素需要關(guān)心：自然災(zāi)害、黑客攻擊、計算機(jī)病毒以及企業(yè)內(nèi)部信息泄露。2011年大量信息安全事件中，索尼的數(shù)據(jù)泄漏是其中備受矚目的一個，索尼的PlayStation網(wǎng)絡(luò)于4月20日關(guān)閉，同時取證組開始調(diào)查索尼數(shù)據(jù)泄漏的范圍。截止到5月2日，該泄漏事件影響了大約1億人，索尼公司已經(jīng)花費1.71億美元處理其數(shù)據(jù)泄漏所帶來的后果。一項調(diào)查顯示，中國內(nèi)地企業(yè)在改善信息安全機(jī)制上仍有待努力，從近年安全事件結(jié)果看，中國每年大約98萬美元的財務(wù)損失，此外，42％的中國內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的安全事件，信息安全給企業(yè)造成了巨大的損失。而目前企業(yè)面臨的主要威脅有以下幾種。

2.1 自然災(zāi)害

由于近年來自然災(zāi)害的多發(fā)，給計算機(jī)系統(tǒng)造成了一些不可挽回的破壞而引發(fā)了許多信息安全問題，但相對于其他因素來說，自然災(zāi)害對信息安全的威脅算最小的，并且自然災(zāi)害的威脅只可盡量減小而不可避免。

2.2 黑客與病毒

隨著計算機(jī)技術(shù)的發(fā)展，黑客的破壞力也日益擴(kuò)大化，黑客傻瓜式工具的大量出現(xiàn)和黑客組織的形成導(dǎo)致的直接后果就是黑客技術(shù)的普及，網(wǎng)絡(luò)上隨便搜索一下，就能找到一大堆黑客技術(shù)交流網(wǎng)站。這些黑客站點提供黑客工具、公布系統(tǒng)漏洞、公開傳授黑客技術(shù)、進(jìn)行黑客教學(xué)，甚至還有黑客組織通過論壇形式相互交流黑客技術(shù)經(jīng)驗、協(xié)調(diào)黑客行動等。黑客事件的劇增、黑客組織規(guī)模的擴(kuò)大、黑客站點的大量涌現(xiàn)，說明了黑客技術(shù)開始普及，同時黑客攻擊對于信息安全的威脅也越來越大。僅在美國，黑客攻擊每年造成的經(jīng)濟(jì)損失就超過100億美元，可想而知，對于安全剛起步的中國破壞的影響程度有多大了。

而計算機(jī)病毒（惡意軟件）的使用是黑客攻擊常用的手段之一，計算機(jī)病毒的傳播不僅可以破壞計算機(jī)信息系統(tǒng)，還可以盜取各種秘密信息，嚴(yán)重危害著當(dāng)今社會的信息安全。根據(jù)安全供營商McAfee（邁克菲）新發(fā)布的數(shù)據(jù)顯示，2010年前半年是McAfee進(jìn)行惡意軟件保護(hù)更新的最活躍的六個月，在第二季度報告中，惡意軟件