1．理解组织业务与组织文化
充分了解组织业务是设计安全方案的前提，只有了解组织业务，才能发现并分析组织业务所处的风险环境，并在此基础上提出可能的安全保障措施；只有了解组织业务，才可能定义出合理的安全投资规模和计划；只有了解组织业务，才能制定出合理的安全政策和制度。

对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析，在信息安全中，业务一般是以资产形式表现出来，它包括信息/数据、软/硬件、无形资产、人员及其能力等。安全风险管理理论认为，对业务资产的适度保护对业务的成功至关重要。要实现对业务资产的有效保护，必须要对资产有很清晰的了解。
对组织文化及员工状况的了解有助于知道组织中员工的安全意识、心理状况和行为状况，为制定合理的安全政策打下基础。

2．评估用户组织风险环境
　　 ISO/IEC TR 13335-1把风险的定义为特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。风险评估是对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估，即利用适当的风险评估工具、包括定性与定量的方法，确定资产风险等级和优先控制顺序。
风险可以表示为威胁发生的可能性、薄弱点被威胁利用的可能性和威胁的潜在影响的函数，记为：

通过风险评估，上图中位于“主要高商业风险”区域的风险对组织的安全水平有着显著的影响，是应主要加以控制的风险；位于“高可能性”和“高影响”区域的风险要根据组织的接受风险的能力，可适当加以控制；位于“低风险”区域的风险只要是处于组织可以接受的水平，一般可以忽略。

3．准备安全基线分析报告
通过对组织业务特征、组织文化、安全意识、人员状况及信息风险评估的综合分析，详细描述当前组织的信息安全状况，为进一步制定信息安全投资预算计划、信息安全投资回报分析、人员组织计划、建立安全体系、制定安全政策、引入安全控制措施而提供基础数据、辅助最高管理层对信息安全管理的计划与实践做出正确决策。

（二）根据安全基线分析报告，制定组织信息安全计划，包括组织建设计划、预算计划和投资回报计划
1． 安全组织建设计划
在一个组织内实施信息安全的第一步是根据企业目标及安全方针，建立信息安全指导委员会，委员会要由组织高层领导挂帅，各职能部分相关负责人参加，定期召开会议，对组织内的信息安全问题进行讨论并作为决策，为组织的信息安全提供指导与支持。主要职能有：审批信息安全方针、政策，分配信息安全管理职责；确认风险评估，审批信息安全预算计划及设施的购置；评审与监测信息安全措施的实施及安全事故的处理；对与信息安全管理有关的重大更改事项进行决策，协调信息安全管理队伍与各部门之间的关系。

其次是建立一支专业、高效的信息安全管理的队伍，一般由信息安全主管为核心，并由信息安全日常管理、信息安全技术操作两方面的人员组成。在“911”事件以后，为了加强对安全的统一管理，在美国有一种把安全保卫部门与信息安全部门合并的趋势，许多大公司设置一个首席安全官（Chief Security Officer）职位，负责包括信息安全在内的所有安全事宜。由于首席安全官在组织的整体安全管理中有着举足轻重的作用，这就对首席安全官的管理素质、职业技能提出了全新的挑战。

2． 安全预算计划
一般来说，没有特别的需要，为信息安全的投入不应超过信息化建设总投资额的15%，过高的安全成本将使安全失去意义。由于网络技术的发展，网络攻击工具唾手可得，再加上组织对信息化的依赖性越来越强，这在某种程度上造成信息安全的信息防御的成本越来越高，而攻击的成本则越来越低。所以安全预算计划是一项具有挑战性的工作，要采用“适度防范”的原则，把有限的资金用在刀刃上。

在制订预算计划时考虑以下几点：
² 不应把部署所有安全产品与技术作为目标，因为某些风险可能并不存在，某些风险组织可以容忍和接受（不需要那些不必要的木板，以节省成本）。

² 没有必要去为追求信息安全的零风险加固所有的安全弱点，这些弱点可能因为成本、知识、文化、法律等方面的因素，没有人能利用它们（不需要无限厚度的木板，这可以减少成本）。

² 没有必要无限制地提高安全保护措施的强度：只需要将相应的风险降到可接受的程度即可（不需要无限高度的木板，只需要符合要求就好，这也可以降低成本）。

² 对安全保护措施的选择还要考虑到成本和技术等因素的限制（用给定数量的钱去打造一个能装尽可能多水的桶）。