在评估人员要素的组件时，用户可以询问以下问题:是否拥有专职信息安全人员，是否由相应称职的人员来领导，是否有正在执行的培训计划等等。

　　在评估人员要素的管理问题时，可以通过以下问题来确定：是否定期向行政管理人员提交状况报告，行政管理人员是否拥有信息安全计划，信息安全计划是否可以强制执行等等。

　　在评估信息安全计划的过程与技术要素时，可以询问以下相关问题：信息安全过程和策略便于通过公司的内部网查看吗？安全过程组件部署到位了吗？（安全过程组件包括账户管理、安全意识、应急响应、安全漏洞扫描和可以接受的使用组件。）安全技术部署到位了吗？（安全技术包括防病毒软件、防火墙、安全漏洞管理和入侵检测系统。）

　　制订路线图与实施

　　一旦确定信息安全现状与理想状态的差距，用户就可以动手制订路线图，以弥补当前与未来信息安全计划之间的差距。利用从业务需求分析和差距分析中得到的信息，用户可以开发所希望的安全架构。

　　行之有效的路线图通常为弥补信息安全差距提供多种方案。路线图应当包括今后两年的战略计划以及更长远的计划。用户可以选择符合业务优先重点的路线。公司应当对进展情况进行密切监视，以确保改进持续进行，并不断得到管理层的支持。

　　通过确定关键业务需求、分析信息安全架构的当前状况、划定未来需要改进的领域以及为实现信息安全目标制定灵活的路线图，用户可以大大加强自己的安全优势。

　　随着保护信息资产的人员、过程和技术部署的到位，用户就拥有了确保信息保密性、完整性和可用性所需要的资源。

上一篇 : 独立电商或将是电子商务的新未来             下一篇 : 板栗 “6个栗子等于1碗饭” 板栗吃多了易发