随着网络规模的不断扩大，以及业务对网络稳健性需求的不断强烈，信息安全成了CIO眼下最热的话题之一。

记得两年前的“冲击波”吗?这个病毒一下子让无数企业网络处于瘫痪状态，造成的直接经济损失规模大的惊人。如今企业都面临着是否要信息化的选择，信息安全也随之成了信息化的重要一环。可令人费解的是，众多企业宁可花大把的钱购买服务器、交换机，却很少愿意掏合适的价钱去加强企业网络的安全措施，难道信息安全对企业一无所用?

没有几家用户敢说自己拥有无懈可击的信息安全计划。事实上，在确保业务信息的可用性、完整性以及机密性方面，各行各业的用户都面临或大或小的挑战。

随着安全威胁的与日俱增和日益复杂，越来越多的用户开始采取更主动的方法来实现信息安全: 将安全现状与确保业务连续性所需要的安全目标进行比较分析，以此确定存在的问题和不足，并积极采取有针对性的措施，从而向创建和实现保护关键资产所需的可靠架构迈出重要一步。

明确业务要求

一项信息安全计划要想行之有效，就必须充分考虑人员、过程和技术三要素。因此用户在确定存在安全差距时同样需要考虑这些要素。

在确定差距时，用户首先需要确定关键业务目标，然后概括出实现这些业务目标所需要的安全条件。这些业务目标和要求将成为企业制订信息安全计划的基准。接下来，用户需要确定公司的长期战略目标、业务环境可能发生的变化、高优先级的安全问题以及其他战略战术问题。