如果安全人員不理解企業數據的真正價值，就很難真正理解企業面臨的真正威脅，也就無法真正理解企業的安全計劃、安全過程和程序是否真正有效。

安全人員的任務可能非常艱巨：從諸多擔心、不確定因素和似是而非的問題中抽絲剝繭，評估不同的風險狀態和這些風險在企業發生的可能性。

然后再確定如何使用必要的技術使這些風險最小化。

專注于數據許多企業花費了太多時間用于工具，而對于數據的重視程度卻遠遠不夠。

與數據相比，技術相對簡單。

更困難的問題是理解數據，因為大樓、LAN、主機無法限制數據。

無論IT專業人員還是一般的業務專業人士都需要認識到企業需要部署控制和保護，以跟蹤數據的流向和目的地。

企業很容易在這方面犯錯誤。

當今的企業需要保護信息的基礎架構。

但這僅僅是關于數據與技術的第一項措施。

多數公司往往并不清楚威脅。

許多企業發現，要證明“把錢花在不一定發生的潛在威脅上是合適的”非常困難。

情況往往是只有在發生了危害后，企業才開始重新評估其安全策略。

風險的概念從何處開始呢?要描繪企業信息風險的概況，安全管理者應從確認所有的關鍵業務過程及其工作方式開始。

誰都無法保護并不了解的資產。

安全管理者應調查企業的邏輯和物理資產，無論是數據、技術、人員還是過程，都必須包括在內。

安全管理員應與擁有這些過程涉及的人員交流，發現他們的風險要求和感受水平。

例如，風險在何種情況下會產生危害?企業的敏感點(痛點)在哪里?是效率還是可用性?亦或是資產自身?這些痛點在不同的企業之間是不同的。

這個過程的一部分就是要理解企業所面臨的不同風險狀況。

在這些狀況中，哪些是真正可能發生的?安全管理者應關注哪些?如何應對這些狀況，在哪一點上開始對付這種狀況?由此，安全管理者才可以部署控制、功能、框架、過程、方法、人員進行應對。

企業需要一種信息管理策略，以幫助企業更好地確定和實施安全策略和過程。

我們不妨將信息管理策略定義為：為了管理在企業中存在和流動的信息，企業將有益于公司的方法、策略、過程建立起來的一種集合。

這種策略可以管理和監視數據。

信息管理與評估風險和決定適當的安全水平同樣重要。

但管理信息遠遠不是通過技術保護信息那樣簡單。

在安全問題上的策略和知識管理必須利用教育、培訓等要素。

不僅僅是技術在確認了適當的風險狀況和理解了風險要求后，還要考慮到隨著時間的推移，問題會發生變化。

企業的風險要求需要重新調整。

安全管理員需要講求實效，并更現實地認識這些風險。

在準備好策略、過程、工具后，評估其效能就要求企業具有安全實踐和過程的專業知識，并理解公司的內部程序。

這種評估可通過內部的專業人員或外部的審計人員實施。

當然，問題是，企業要理解這些過程，從而保證其內部安全策略的相關性和最新。

安全是一個不斷演變的問題，它不可一蹴而就，而是應當經常評估和修訂，以應對不斷變化的威脅。

對于多數企業來說，這有可能是最大的困難。

如何評估有專家建議在如下方面評估企業的安全準備水平，或評估當前狀態與目標狀態的差距：

1.安全文化。

評估企業在安全意識培訓中是否使用多種方法。

2.審計問題。

評估企業是否將安全問題包含在項目計劃和變更管理過程中。

3.合規管理。

評估企業是否為合規管理過程明確地規定了責任和義務。

4.策略和過程管理。

評估企業將物理安全整合到其它過程的程度。

5.事件管理。

評估企業的事件監視是否包括了所有的安全方面。

6.風險分析。

評估企業是否將風險分析的結果明確地傳達給所有重大項目的項目團隊。

7.漏洞管理。

評估企業用安全策略和過程審計是否合規的頻率。