随着网络规模的不断扩大，以及业务对网络稳健性需求的不断强烈，信息安全成了CIO眼下最热的话题之一。记得两年前的“冲击波”吗？这个病毒一下子让无数企业网络处于瘫痪状态，造成的直接经济损失规模大的惊人。如今企业都面临着是否要信息化的选择，信息安全也随之成了信息化的重要一环。可令人费解的是，众多企业宁可花大把的钱购买服务器、交换机，却很少愿意掏合适的价钱去加强企业网络的安全措施，难道信息安全对企业一无所用？
没有几家用户敢说自己拥有无懈可击的信息安全计划。事实上，在确保业务信息的可用性、完整性以及机密性方面，各行各业的用户都面临或大或小的挑战。
随着安全威胁的与日俱增和日益复杂，越来越多的用户开始采取更主动的方法来实现信息安全: 将安全现状与确保业务连续性所需要的安全目标进行比较分析，以此确定存在的问题和不足，并积极采取有针对性的措施，从而向创建和实现保护关键资产所需的可靠架构迈出重要一步。
明确业务要求
一项信息安全计划要想行之有效，就必须充分考虑人员、过程和技术三要素。因此用户在确定存在安全差距时同样需要考虑这些要素。
在确定差距时，用户首先需要确定关键业务目标，然后概括出实现这些业务目标所需要的安全条件。这些业务目标和要求将成为企业制订信息安全计划的基准。接下来，用户需要确定公司的长期战略目标、业务环境可能发生的变化、高优先级的安全问题以及其他战略战术问题。
细分评估过程
以业务需求分析作基础，接下来用户需要将企业当前的安全架构与信息安全计划的目标进行比较。这是一个费时、费力的过程。如果将人员、过程和技术评估细分到三个关键领域—战略、组件与管理，这个过程就会得到大大简化。
利用简单的评分方法对关键领域进行分级，可以使评估工作更加容易进行。例如，零分表示完全没有实现，1分表示部分实现，2分表示全面实现。不过，对于许多用户来说，确定评估标准才是问题的关键。