随着网络信息通信越来越多地替代企业传统的运转模式，企业应该将信息保护集成到企业运作的管理层面。在传统的体系架构下，很多人认为安全对企业运作是有负面影响的，而不是能够推动核心运作效率的提高。如何建立有效的企业信息安全资产保护计划并得到有效实施，是每个企业管理层和信息安全决策者最关心的问题。
企业面临的信息安全风险趋势 　　

　　 企业越来越依靠信息资源，安全事件不断增长，而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。这就需要进行IT规划和费用调整以保证适当的安全投入，部署有效的工具，来解决紧迫的安全问题。

　　 安全威胁趋势

　　 内部非授权访问和使用威胁仍然是企业面临的最大威胁，根据CSI/FBI的2005年计算机安全调查，内部威胁呈现不断增长的趋势，超过80%的数据损失来自于组织内部，主要是非授权访问和信息窃取。尽管多数情况下人们通常怀疑这些问题源于外部侵入，但是计算机系统与数据的大部分损失并非源于恶意的外部攻击，而是一些很简单的人为操作错误，或者是系统内部分合法用户的未授权或无意活动。

　　 调查显示：有超过85%的安全威胁来自组织内部，有16%来自内部未授权的存取，各种安全漏洞造成的损失中，30% - 40% 是由电子文件的泄露造成的，而防火墙、防病毒、入侵检测、物理隔离这些常见的内网安全措施也无法有效阻止企业机密信息的泄露。为防范风险，必须在内网建立可靠的网络管理、安全审计和监控，以保证内网安全。 企业的信息安全管理势在必行。

　　 所以内部员工的泄密是受害金额最大，防护工作是企业网络安全工作重点的重点。现在，信息泄密的渠道主要有3种：
　　 (1)网络泄密
　　 (2)软盘、移动硬盘泄密
　　 (3)打印泄密

　　 结合上述三种泄密的方式，如何才能做到电子文件的安全呢？首先需要提高企业管理水平，同时还要采用一些技术措施：
　　 (1)文件加密
　　 (2)严格的授权
　　 (3)操作监控
　　 因此，企业意识到改善IT安全，首先要提高自身的信息安全意识，特别是提高企业普通员工的信息安全意识，不让日常安全维护能解决的问题成为企业信息安全的难点，不让普通用户成为企业网络安全的杀手；
　　 第一：要加大对信息安全方面的投入，构建相对完整、有效的信息安全防御体系；
　　
　　 第二：加强信息安全方面的制度和体系建设，将企业信息安全方面的经验固化下来；
　　
　　 第三：增强内部培训，包括对安全人员和普通用户的培训。