5. 安全管理流程
为符合信息安全政策的要求，以及利用管理措施降低风险，因此必须新增或修订现有的资安管理流程，以适当的资安管理措施，供员工作为落实信息安全的依据。

6. 安全管理程序
资安流程中各项步骤的详细实施方式及责任，必须明确订定，员工才会了解实际实施时要执行的工作内容。因此必须根据资安流程的内容，制定更为详细的管理程序。

7. 资安认知训练
建立信息安全管理系统之后，内部许多原有措施可能已经修订，并增加了许多新的措施。因此必须策划实施员工的资安认知训练，让员工了解企业对信息安全的决心，以及相关的管制措施，并要求员工确实遵守，一起为公司的信息安全努力，以维持公司的竞争力。

8. 安全需求定义
除了采取管理的方式来加强信息安全之外，适当的使用信息科技，亦可协助管理人员加强信息系统的安全性。因此，根据信息安全策略、政策的要求，以及相关管理流程或程序的需要，定义资安技术的需求，可作为引进任何信息安全技术的评估标准，协助确保引进的资安技术可以满足公司的实际资安需求。

9. 资安架构设计
信息系统的架构设计为信息安全的基本。良好的信息架构，可以支持各资安解决方案，透过信息技术提供企业可倚赖的信息系统使用环境。按照不同的应用服务，会有不同的资安需求，而为了满足现有的资安需求，并提供引进未来资安技术的空间，必须要靠一套设计良好并可弹性扩充的信息系统架构才能提供各应用服务足够的安全性。一般而言，依据使用者存取环 ? 的信任等级，将企业的 IT Infrastructure 应切割成不同信息安全网域 (Security Domain) ，不同资安网域彼此之间互相隔离，并经由界限服务 (boundary service) 保护， ( 如 filter router 、 firewall 等 ) ，将数据按照重要性及服务对象分别置放于不同网域，并针对各网域建置不同的资安控管系统。这些资安控管系统，应可以提供应用服务使用，以强化资安功能。

10. 解决方案设计
根据风险评估的结果，部份风险管理的对策，可能为资安技术或解决方案的导入。这步骤为根据选择的对策，参考企业的安全需求，以及现有的资安架构，设计该对策的解决方案。

11. 产品选择
完成解决方案的设计之后，应该按照设计要点，考察业界目前已有的产品。根据产品的特性、优点及缺点，以及建置所需成本，和建置之后可带给企业的效益，选择可行的解决方案。

12. 安全解决方案实施
选购资安产品之后必须开始建置。这时必须注意，除了确认产品中所需的关键功能均需建置之外，并应同时参考现行资安流程或程序，订定实际使用及管理的程序，并要求确切执行，以确保解决方案的实际效益。

13. 安全控管与侦测
所有的资安管理系统措施及资安解决方案，均应持续的监控，以了解目前状况，提早发现可疑事件，及掌握资安事件的发生。因此资安管理的程序与流程必须包含控管与侦测的部份，并必须按照规定实施。

14. 安全管理评估
资安管理系统的实施成效，必须定期评估，才能了解是否确实有效，因此必须定期自行稽核。有效的稽核制度才能避免人员的倦怠、忽略，成为资安持续运作的主要推动力，提供信息安全的保证 (assurance) 。因此除了在资安管理的程序与流程必须包含稽核制度的规定外，还必须订定实施计划定期主动稽核。

15. 安全技术评估
由于信息系统与业务流程息息相关，因此包含信息系统架构、网络设备、服务器平台、应用系统等，均应定期评估目前使用技术的安全性，以及详细的实施状况，以了解其弱点及风险之所在，而加以控管。

按照上述的步骤，企业即可建置一套完整的信息安全管理系统，并搭配适当的资安技术，提供一个安全使用信息的环境。但是实际的建置成效，仍有赖一些关键因素。根据 IBM 的推行与顾问经验，企业能够成功的导入信息安全，必须考虑以下几点：

1. 取得高层授权
在实施任何资安方案之前，最重要的，乃是取得充分的授权，而对于大型企业而言，这更是极为关键的重点。由于大型企业组织众多，一旦导入资安方案造成员工的工作习惯或流程必须变更，所带来的冲击亦更为庞大。高级管理阶层的明确宣示，可以让员工明确感受到企业加强资安的决心。这些可以配合企业原有的文化，透过董事长或总经理所亲自签署寄发的电子邮件、以及在内部大型集会活动的正式宣达，这些方式都可以让员工了解企业对信息安全的重视，而主动去了解其自身所应做的改变。

2. 遴选适当资安项目人选
在进行现况评估时，大型企业常面临的问题为评估结果是否能确实代表企业目前的状况。现况评估的结果，将会影响后续资安措施的选择与设计，因此遴选适当人选作为评估之受访对象，乃是成功的重要关键。受访对象应为相当熟悉该单位所有业务的主管，并对该部门的任务目标极为清楚。而受访人员在接受面谈之前，并应先由其主管告知面谈的主要目的为了解现况，并非作为考绩评比或是稽核所用，因此应详细而清楚的说明现行状况，才可避免顾问人员忽略了现有的资安措施或缺点。

3. 设计简单明撩的信息安全政策
企业在建立信息安全政策的过程中，可以用几个简单的指标来检查政策的良窳：

(1) 兼顾安全防护及生产力；

(2) 安全政策的执行度；

(3) 简单扼要、易于理解。

此外，亦需建立企业内部员工的认知，使每一个员工都了解安全政策目的，如此安全政策才能成功。

4. 有效的安全认知训练
员工的安全认知，乃是大企业在推行信息安全时最难执行，以及最不易了解成效的一部份。推动员工的安全认知，可以使员工了解信息安全的重要性，主动配合安全规定，养成良好的工作习惯，以下列出三个重要关键：

(1) 传递讯息：倡导员工安全常识之前，必须先决定倡导内容。过多繁复的内容将让员工不易吸收，然而过于片段的信息则会不易让同仁了解实际的目的，因此员工不会确实执行。因此在倡导之前，必须先确认倡导的目标，并使用简明扼要，不拗口的字句说明，最好可以让员工朗朗上口，效果更佳。

(2) 传达机制：为了确保传达的有效性，必须要引起员工的兴趣与注意。常见的作法包含了透过寄给全公司的信件倡导，放在企业内部入口网站的首页，在重要的出入口张贴宣传海报等。此外，适当的办理一些活动，例如举行有奖征答竞赛、鼓励员工参与资安口号设计等，均能有效的提高员工的注意力，进而增加他们对资安的认识程度。

(3) 效果评估：透过效果评估，可以了解所有的认知训练活动成效。这部份的实施可参考下列 IBM 实施稽核的经验分享。

5. 确实稽核
良好的稽核可以协助确认资安措施的实际实施状况，也就是确保所有资安措施均有落实。以 IBM 为例， IBM 设立了独立的全球稽核单位，全年度在世界 170 个分公司进行信息安全的稽核，一旦被评为「非满意」等级，该分公司不仅须提出改善报告，相关人员并将遭到惩戒。另外每位员工每年都需要完成信息安全自我稽核评估，切实地稽核平时对于信息安全的落实程度。除了可以确保资安措施的落实之外，更同时再次向员工宣示了公司对信息安全的重视程度与决心，使员工本身更加会注意个人在资安方面的责任。

6. 善用顾问经验
许多大型企业在建置信息安全管理系统时，会邀请顾问公司的协助。由于顾问均为信息安全专家，且为独立的第三者，意见较为超然。因此应善用顾问的专业知识、经验及超然地位，利用顾问的力量以引导各单位形成实施资安的共识，并形成一股实施的力量，以加速资安措施与方案的导入及推行。

建置良好的信息安全环境是一件艰难的任务。清楚地掌握现有问题与弱点，缜密地评估各式风险，遵循既定的流程与规范不断改进以减轻资安事件可能带来的伤害，并持续要求落实各项资安措施，才能有效达到信息安全的目标，以最佳的状况持续支持企业的营运。