ITIL并不能直接指導企業IT架構的日常維護和補丁升級操作，但ITIL涵蓋了范圍更為寬廣的變更、分發和配置管理，從而使利用ITIL的思想和原則對企業的補丁管理流程進行規范成為可能。
企業在對IT架構實施補丁升級的過程中，會遇到相當多的問題。冗余低效的補丁分發方案、補丁記錄缺失、高風險的補丁實施和沒有制定有效的補丁撤銷策略等是其中影響最大的問題。這些問題的存在，不但明顯降低了企業IT部門的工作效率，還消耗了大量企業用于IT設施的預算，最為嚴重的是，還影響企業順利開展業務，對高價值數據的安全造成了非常大的威脅。
企業要提高IT架構的效率、安全性和對業務的貢獻率，就必須首先解決在實施補丁升級過程中的諸多問題。這些問題的解決都指向一點：制定并實施理想的補丁管理策略。這點是目前絕大多數的企業都十分缺乏的實踐。那么企業應該如何做？
企業要制定理想的補丁管理策略，就需要先明確實施這個策略要實現什么目的，以及目的的達成能夠給企業帶來什么現實的好處。了解目標所在之后，企業下一步需要做的就是，制定一個符合自己業務和IT環境現狀的理想補丁管理策略。但對大部分缺乏標準化流程制定經驗的企業來說，這并非易事。幸好，我們有ITIL （IT基礎設施庫）可以參考，它包含著如何管理IT基礎設施的流程描述。它以流程為導向，以客戶為中心，通過整合IT服務與企業業務，提高企業的IT服務提供和服務支持的能力和水平。ITIL可引導組織高效和有效地使用技術，讓既有的信息化資源發揮更大的效能。基于ITIL思想的補丁管理策略包括4個重要階段：配置管理、風險評估、變更管理和補丁發布管理。
重要階段１：配置管理
對企業現有IT環境的詳細了解是補丁升級成功的第一步。如果企業在實行補丁升級操作前不了解企業IT環境的實際情況，企業將無法了解漏洞的存在和危害、補丁程序的影響和風險，也就無法對接下去的補丁升級活動進行計劃。企業可以通過配置管理來收集IT環境的相關數據。
企業要根據IT架構的配置情況實施配置管理，可以使用數據庫或文檔記錄的方式。一般情況下，企業只須關注系統的標識、技術特征和業務角色三個要素即可。
配置數據一般可直接從企業新設備的采購或更新時的登記表中獲取，但要注意的是，配置信息應該隨著系統的變更而及時更新，否則就毫無價值。對于內部網絡龐大、設備數量眾多的企業，建議采用數據庫的方式來維護配置管理信息，以增強配置管理信息的使用效率并降低維護難度。
重要階段２：風險評估
企業在進行補丁升級操作之前，還需要獲知當前最新的補丁程序信息，同時還要知道企業IT架構中有哪些系統是需要進行補丁升級操作的。因此，企業可以在風險評估這一階段對存在漏洞的系統進行調查，并獲取補丁程序的信息。風險評估的一般步驟如下：1.獲取漏洞信息和廠商發布的補丁信息；2.評估漏洞和補丁對現有系統及應用程序的影響；3.查找并記錄現有系統和應用程序中存在的漏洞，并記錄所有的處置決定；4.將漏洞情況告知系統的所有人；5.提交變更請求。
企業可以很方便地從相關廠商或各大安全站點上獲取最新的漏洞和補丁信息。這些漏洞信息中通常包括受影響系統、漏洞描述和威脅等。企業的IT部門需要將這些信息記錄下來，并作為補丁程序使用決定的依據之一。有漏洞信息公開時，對應的廠商尚未提供補丁程序，企業的IT部門也應該根據該漏洞的危害及影響，從其他方面對防御這個漏洞進行準備，如隔離或關閉受影響系統等。
由于廠商往往會針對不同的軟件產品和版本發布多個補丁程序，因此企業可以使用自動化的補丁分發工具，獲取并分類這些種類繁多的補丁程序。將自動化的補丁分發工具和階段1使用到的配置管理數據庫結合使用，能夠幫助企業IT部門做出更準確的判斷。