网络和IT应用在企业内不断得到深化，所带来的结果就是，信息安全成为企业重要的无形资产。如何保护好信息，不但要在技术、规范上，还要在管理流程等多方面加以全面考虑。

不管一个企业规模如何、业务类型如何，很难说没有发生过信息安全事件。在一些疏于防范的企业，计算机病毒爆发、利用系统漏洞非法入侵等信息安全事件更是时有发生。

究其原因，要归咎于现在的技术、法规、业务流程、安全威胁及其他众多因素相比于过去，复杂性大大增加，并且相互交织在一起，这大大增加了各类企业在信息安全方面所面临的风险。

而企业内部信息存在于这样一个复杂的生态系统中，还要满足信息安全方面的三个原则: 可用性、完整性和机密性，其自身所面临的压力自然也就不言而喻。可用性意味着需要信息的人能够及时获取信息; 完整性意味着信息完整，没有遭到破坏; 机密性意味着信息得到了保护，未授权者无法访问。

本文根据上述的三个原则，提供了制定企业安全计划（ESP）的一些方法和指导原则。

第一步:成立信息安全团队。

管理学专家吉姆·柯林斯（Jim Collins）在《从优秀到卓越》（Good to Great）一书中，明确表明，在启动任何公司项目之前就应该让相应人员参与进来，企业安全计划项目也不例外。

在企业内部要成立两支团队，即经理人团队和跨职能部门的信息安全团队。经理人团队负责确定企业安全计划的使命、宏观目标和具体目标，这个团队的成员应该包括企业的高层主管。此外，这支团队还应该负责制定重要的安全政策、设定组织风险阈值、获得企业安全计划所需的资金，并且成立跨职能部门的安全团队。

跨职能部门的安全团队则最好由更小的团队组成，负责日常的IT安全工作，包括管理IT资产、评估威胁与漏洞、管理风险、制定策略、制定规程和控制手段、进行内部审计以及提供培训服务。

第二步: 理清信息资产。

管理信息资产首先要从清点资产开始入手，这个步骤应当记下硬件、应用程序（包括内部和第三方组织的应用程序）、数据库及其他信息资产（如网络共享文件夹和FTP网站等）。一旦完成了清点资产的工作，再为每项资产明确一个所有人及监护人。所有人的职责是充当被分配资产的联系人，而监护人要负责保护已存储的信息。

然后，根据信息资产里面所含信息对公司具有的价值、以及一旦该资产受到危及，公司可能遭受的成本损失进行分析，根据结果把这些信息资产划分成不同的重要等级。