對于企業(yè)安全管理具體涵蓋的內(nèi)容，網(wǎng)絡安全專家認為，首先要明確企業(yè)的哪些資產(chǎn)需要保護：企業(yè)必須花費時間與精力來首先確定關鍵數(shù)據(jù)和相關的業(yè)務支持技術資產(chǎn)的價值。通常，各公司認為表述資產(chǎn)的價值是很容易的，但具體如要按級別界定就不那么簡單。

對此，就需要用安全廠商與企業(yè)共同制定規(guī)范以確定需要保護的資產(chǎn)的安全級別，并為制定切實可行的安全管理策略打下基礎。其次，還需完成威脅識別及風險評估的任務：如果企業(yè)想增強競爭實力，必須隨時改進和更新系統(tǒng)和網(wǎng)絡，但是機會增加常伴隨著安全風險的增加，尤其是機構的數(shù)據(jù)對更多用戶開放的時候——因為技術越先進，安全管理就越復雜。所以企業(yè)為了消除安全隱患，下一步就需要安全廠商與企業(yè)一起必須要對現(xiàn)有的網(wǎng)絡、系統(tǒng)、應用進行相應的風險評估，確定在企業(yè)的具體環(huán)境下到底存在哪些安全漏洞和安全隱患。

再次是在此基礎上，制定并實施安全策略，完成安全策略的責任分配，設立安全標準：幾乎所有企業(yè)目前都有信息安全策略，只不過許多策略都沒有書面化，只作為完成任務的一種手段。恰當?shù)男畔踩呗员仨毰c機構的所有業(yè)務需求直接相關。它基于幾類安全標準。標準分類將使企業(yè)能發(fā)現(xiàn)違反策略的行為，并指出每個區(qū)域的漏洞或潛在安全威脅區(qū)。最后，企業(yè)安全管理還應包括安全廠商與企業(yè)共同組織的對企業(yè)安全管理人員進行安全培訓，以便維護和管理整個安全方案的實施和運行情況。

信息安全問題之所以成為企業(yè)管理中很難解決的一個問題的主要原因在于：信息資產(chǎn)與物理資產(chǎn)的差異性。一般而言，信息資產(chǎn)與物理資產(chǎn)的基本區(qū)別是，信息資產(chǎn)是動態(tài)變化的，而物理資產(chǎn)是固定不變的。信息資產(chǎn)在許多方面表現(xiàn)出動態(tài)特征---從信息以運行數(shù)據(jù)（客戶帳戶、業(yè)務交易等）的形式產(chǎn)生開始，直到在各種業(yè)務功能和過程中最終的應用（ERP，CRM，商業(yè)智能）。IT界為信息生命周期的每一個階段推出了許多單一性的產(chǎn)品。這些產(chǎn)品分別用于解決生命周期中某個方面的問題，包括信息的生成、處理、分布、存檔、檢索和處置。某一種信息資產(chǎn)在生命周期的每一個階段各有其價值。而且，一般來說它的價值會隨著生命周期的進展而增加。因此，企業(yè)的這種動態(tài)資產(chǎn)在其進展的每一步中必須受到保護，以防止外部和內(nèi)部的威脅。遺憾的是，技術廠商們至今并不能出色地提供這些產(chǎn)品功能以保護信息安全。

由于IT是管理企業(yè)不可缺少的工具，公司董事會和經(jīng)理們?nèi)绾温男兴麄兊幕韭氊熞员Ｗo公司最有價值并且是動態(tài)的資產(chǎn)---公司信息的整體？當然，對于常見和已知的安全薄弱環(huán)節(jié)，現(xiàn)在和將來會不斷出現(xiàn)新的產(chǎn)品，例如，防病毒，防火墻以及加密等。正如我們已經(jīng)論述的，技術手段是必要的，但不足以解決信息資產(chǎn)保護的全部問題。完整地看，還有其它方面要考慮---與技術結合在一起。