节选雷万云博士《信息安全保卫战》第3章

参照信息安全建设的经验和根据企业信息安全建设的实际情况，我们可以从安全制度和安全技术两个维度把企业安全建设阶段分为四种类型或四个阶段，分别是被动型企业（事件导向阶段）、技术型企业（技术导向阶段）、制度型企业（流程导向阶段）和成熟型企业（风险导向阶段）。

下面就四个阶段的特点分别给予说明。

    1、被动型企业（事件导向阶段）的主要特点是：

s 事件、故障发生以后再采取相应的补救措施；

s 不注重IT的安全管理；

s 无计划中的信息安全预算；

s 使用基本的用户名、密码管理；

s 部署了基本的安全工具；

s 每年信息安全投资预算占整个IT预算的份额非常低。

这个阶段属于信息安全建设的初级阶段，目前大多数中小企业都属于这一阶段。

2、技术型企业（技术导向阶段）的主要特点是：

s 强调并依赖IT的安全技术；

s 部署了各种领先的安全工具；

s 每年安全经费预算投入在IT投资中开始被重点考虑，数量有较大增加；

s 尚未建立正式的安全组织，有一定的安全策略、标准和流程；

s 员工安全意识普遍比较薄弱。

这一阶段属于大量技术投入阶段。

3、制度型企业（流程导向阶段）的主要特点是：

s 强调安全管理的重要性；

s 每年信息安全经费预算有所增加；

s 开始对信息资产进行分类；

s 建立了正式的安全组织；

s 拥有完善的安全策略、标准和流程；

s 部署了基本的安全工具，但安全制度和流程无法有效落实。

4、成熟型企业（风险导向阶段）的主要特点是：

s 强调IT的安全管理和安全技术的平衡；

s 建立集成且统一的安全体系管理架构、技术架构；

s 拥有基于国际标准的完善的安全策略、标准和流程；

s 建立了强健有力的安全系统；

s 应急响应机制完善且定制演练；

s 预防为主、防治结合、内外兼修。

通过对目前企业信息安全建设的现状分析，希望我们可以把握自己企业的信息安全建设现状，在信息安全的建设和管理过程中树立正确的观念，通过参照信息安全建设相关的方法论和最佳实践，走出一条简洁和有效地建设之路。本书的后面章节将进一步论述。