面对复杂的信息安全环境，单纯地通过购置安全产品已经难以防御，企业必须从信息资产管理的宏观角度建立整体的安全防御体系。“目前中国的安全市场仍然以安全产品的销售为主。厂家和用户从购置产品的角度看待威胁，在应对病毒破坏、黑客攻击等问题时，基本停留在兵来将挡的阶段。总体而言，企业在安全项目方面的回报并不很好，花了很多钱却没有花到企业需要用的地方。”IBM的徐欢说，“其中一个原因是企业难以认识到自己的风险所在，也就难以从投资回报的角度衡量安全投资。”同时，安全又是一个涵盖很广的领域，不同的厂家、集成商和用户对安全的理解各有千秋，但有限范围内最好的选择未必在全局上发挥最好的效果。
在单个安全威胁向混合安全威胁变化的趋势中，企业首先需要了解有哪些风险存在，预测、评估其发生的可能性以及对企业的影响程度，尽可能量化风险，然后根据优先顺序，采取适当的预防措施。从今年“全球信息安全调查”的结果可以看出，有24%的中国企业过去一年没有进行过风险评估，有44%的中国企业只是由IT部门的普通员工进行风险评估。（见表7）
风险评估机制的不完善造成了企业大量的信息安全投入收不到预期的效果。“你不能把面包和钻石放在同一个保险箱里。”王铭杰说。不进行风险评估，就等于把所有安全风险等同看待，这在安全威胁愈加复杂的今天显然会造成企业疲于应付。对于企业来说，树立风险导向意识成为当务之急，以把面包和钻石用不同的方法保护起来。“这不仅仅是一个IT系统的问题，”科索路咨询公司（Cosolu）高级咨询师梁晟说，“而是指将IT系统的风险与业务风险建立联系，把影响IT系统的因素进行量化，然后确定这些因素对业务可能产生的影响。从业务的角度出发，建立风险的可能性与影响性的矩阵表，这样就可以看出各种IT设施和应对措施的优先级别。”
树立风险导向的信息安全管理意识，最终目的在于提高信息安全项目的投资回报，将IT风险作为企业运营风险中的一部分加以管理，为建立完整的安全架构打下基础，彻底告别“头痛医头，脚痛医脚”的被动局面。

（c112）