在进行信息安全总体架构规划时，企业容易陷入两个误区: 一是罗列一堆产品和技术，把能够看到的安全产品和安全技术（防火墙、防病毒、入侵监测、加密技术、VPN、终端准入控制）都堆砌起来，以为这样就构成了全面的安全屏障; 二是把企业信息安全等同于网络安全，给出的规划也只能是局部的、残缺不全的。

高科技企业涉及知识产权、商业机密的案件和纠纷日益增多，电子文档的可复制性和易传播性起到了推波助澜的作用。一个公司的商业机密往往关系到公司的命脉，虽然国家加大了知识产权的保护力度，但是商业秘密被竞争对手盗取的情况还是相当严重。

抵御病毒入侵应优先考虑防御，尤其是网络的访问控制。对于一个大型企业来说，网络往往是四通八达、结构繁杂的，杂乱无章的网络也会导致访问控制的臃肿和失效，并且会大幅度地增加工作的复杂和负担。因此，要做好网络安全，可以借鉴城市交通路网的规划和管理，进行网络划分，实施访问控制.

当前，企业面临诸多挑战，而许多挑战都与用户身份管理及受保护资源的访问管理相关。这些挑战包括:降低安全管理的成本、保护组织的关键资产、确保法规遵从性等。在竞争日益加剧的今天，企业正面临着前所未有的压力：需要阻止入侵者进入计算机网络，管理员工对系统及应用程序的访问，逐步使客户和合作伙伴对在线交易树立信心。与此同时，企业还需要减低风险和遵循种种法规。这对于企业的 IT 部门来说是一项...

病毒在企业内网的泛滥一直是困扰CIO、IT经理们的主要问题。在企业内网中病毒每天都在发作，有的仅仅影响少数计算机，有的会使局部的网络瘫痪，更为严重的病毒发作会使一个公司的全网瘫痪，业务中断。 很多企业将防病毒工作寄希望于防病毒产品。诚然选择一个好的企业级的防病毒产品对企业防病毒工作至关重要，但仅仅依赖防病毒产品是远远不够的。任何防病毒产品都有以下管理上的致命弱点。

IT技术作为组织发展的重要支撑，在组织的运作过程中发挥着越来越重要的作用，各组织在IT方面的投入也越来越大，核心业务数据也越来越多的集中到IT系统中。随着互联网环境的逐步复杂， IT规模的不断壮大，IT技术的不断发展，各组织面临着越来越多的IT风险和经营风险。在这样的背景下，信息安全逐步成为国内各组织的高管、特别是上市公司高管关心和担忧的问题。

为想要建立信息安全管理体系的客户规避这种困境，帮助已有信息安全体系的客户走出这种困境，使信息安全管理体系真正有效运作起来，为业务的发展起到保驾护航的作用。通过几个案例的深入研究，我们找到了一些信息安全管理体系难落实的病根和应对的药方。从几个案例的研究中找到了一个共同的特点，那就是信息安全管理体系难落实，其他部门没有很好执行只是其中的一个小原因，最大的原因在于信息安全管理体系本身...