对于信息安全的重要性，我们已经无需再次强调。虽然得到了企业用户的高度重视，调查数据还是再次为我们敲响了警钟，2014年在中国大陆与香港地区，检测到的网络犯罪事件导致企业平均财务顺势 增至240万美元，同比2013年增长33%，而全球这一数值为270万美元，增长34%。

　　安全，与战略同行

　　针对这一现状，很多企业已经开始有意识地关注公司的信息是否安全，尽管许多中国大陆与香港受访者表示他们目前拥有信息安全保护政策，但信息安全策略/愿景缺失成为开展信息安全工作的最主要障碍之一，针对这种现状，普华永道中国网络安全服务合伙人冼嘉乐提出了企业迈向战略性安全管控体系的五个步骤。

　　第一，确保信息安全的管控策略与商业目标一致，并使自身成为战略投资。第二，识别最具价值的信息资产，并优先保护高价值数据，第三，是为了减少对各类攻击的响应时间，请充分了解您的对手，包括他们的动机，可能会利用的资源，以及他们会使用的攻击方式等等。第四，评估第三方与供应链合作伙伴的信息安全状况，以确保第三方也同样符合企业要求的安全策略及最佳实践。第五，积极参与多方合作，提高企业对网络安全威胁与应对的意识。

　　有了这五大业务步骤，企业的安全战略就有了实施指南，冼嘉乐表示，这五大步骤同样适用于中国的广大中小企业。简单的说，信息安全的基本目的是为了保护业务活动，如果信息安全影响了业务的发展与正常活动，那么这样的信息安全应该被重新审视与评价，如何平衡信息安全与业务发展的关系呢？步骤一就很好地解决了这个问题，因此不论企业规模大小，信息安全工作的第一项任务或者说第一个出发点就是为了商业目标的实现。具体到中小企业，他们往往处于业务发展期，每一笔花费都需要更加精打细算，在信息安全方面的投资是否能保护商业活动以及商业利益显得更加珍贵。

　　安全步骤“动”起来

　　对于这五大安全步骤的实施方式，赛迪网记者专门咨询了冼嘉乐。冼嘉乐表示，这五个步骤不是严格意义上的相互依存的顺序关系，他们更类似于日常信息安全工作的指导原则与关注点，所以需要结合企业的实际情况进行定制化的分析，有重点有针对性地“动态”进行工作。普通企业一般的信息安全工作，可以划分为几个阶段不断循环。

　　首先是风险识别与评估，全面认识目前企业所面临的信息安全风险，并进行风险高低与优先级排序。其次是制定并实施信息安全风险管控解决方案，找出问题的解决办法与顺序关系。再次是信息安全管控监督，确保信息安全的解决方案发挥应有的作用。最后是持续改进，不断发现新的问题并不断改进，使信息安全管控工作处于动态持续提升的环境，可以看到，通过风险评估的工作后造出薄弱环节做到有的放矢，通过管控监督的活动，衡量信息安全的落地执行情况与效果，而且这是一个动态的过程，可以理解为螺旋式上升。

　　而从国际国内来说，也有不少相关的标志、框架可以作为这些步骤的参考，如ISO27000、ISO20000、NIST-SP800、SSE-CMM、ISO15408、COBIT等等，不过冼嘉乐也强调，这些都是通用性的标志，每个企业在实际使用过程中需要结合自身情况，不可生搬硬套。

　　安全，如何面对大数据、互联网

　　针对企业客户比较关注的大数据、云计算以及互联网安全，冼嘉乐表示，应该谨慎选择合理的技术方案，并且了解内外有别，合理对信息资产进行分类分级，这样才能对信息进行分级安全保护。此外信息安全不应仅仅是事后的要求，在业务开展与技术应用之初就应该把信息安全作为一个要素考虑和评估。不仅如此，企业高管还需要平衡业务与安全的关系与战略一致性问题，对企业信息安全评估、监控与管控进行一个动态的管理。

　　最后，冼嘉乐还谈到了国内外安全策略的异同点。由于国内外企业的业务环境和企业信息安全建设阶段不同，具体的执行策略会有写差别，例如国外企业对信息安全的重视程度普遍比较高，已经开展多年的信息安全管控建设，“硬”环境相对比较完善，如设备部署、流程体系建设等；目前更加重视“软”环境，如人员意识、内外部欺诈的预防、信息安全合作等等。国内的信息安全还处于起步阶段，因此基础设施的建设还处于比较重要和高投入阶段，更加重视企业信息安全解决方案的部署、使用以及信息安全管控体系的建设，但是发展速度非常快，一些先进企业和大型机构和国外信息安全管控的水平相差不大。

　　相信有了这些安全良方，企业安全之路会越走越顺。