易聆科咨询（熊甲林）企业信息安全既不是简单的安全产品堆砌，也不等同于局部的网络安全，而应是基于需求构成的以管理、技术和人员三者有机结合的立体架构。
 

◎调查问卷
　　 针对企业情况，信息主管应参照ISO27001/ISO13335等标准，制定相应的调查问卷，通过它全面了解企业的安全要求、安全状况、IT环境，以及企业信息系统的应用情况和已经采取的安全控制手段。

◎人员访谈
　　应选定关键领导和关键岗位，进行人员访谈，全面了解信息系统的安全需求，层层剖析、深入了解企业信息系统各层面的安全现状，包括应用状况、数据存储及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。

◎现场查看
　　为了确保获取信息的全面性和准确性，实地考察是非常必要的。现场查看主要有两方面。一方面是了解现有技术措施的情况，例如设备使用状况、技术应用状况等; 另一方面是物理环境察看，例如机房、办公室、其他重要区域、门禁、监控等。

◎资料分析
　　收集企业的相关资料进行分析，重点包括信息系统的部署架构、网络架构、安全制度、运维管理、IT运行报告和IT审计报告。

◎技术检测
　　采取技术手段进行漏洞检测和分析，包括渗透测试、漏洞扫描、本地检查和手工检查等。充分发掘网络方面的漏洞、主机及操作系统漏洞、数据库方面的漏洞、应用方面的漏洞等。

◎CIA均衡考虑
　　通过前面5种方法完成需求分析之后，CIO对信息安全的具体详细的需求就了解了。然后针对企业的信息安全需求，均衡考虑CIA三个方面设计技术、管理和人员控制措施，并将这些措施有机结合构建信息安全保障体系。

◎同类企业成功经验
　　有现成的桥，就没有必要摸着石头过河。因此，在设计信息安全保障体系时，借鉴国内企业在信息安全保障方面的成功案例，可以节约成本和少走弯路。