构筑信息安全体系，并非只有IT。IT的目标是运营获利，而非其他。没有一个体系是完整的，也没有一个体系运营是没有风险的，所以必须很清楚知道风险管理机制。

信息安全风险只是所有风险中的一部分，所以必须在整个企业运营的框架中考虑信息流的重要程度。信息安全必须根据业务需求做出判断。

要建设信息安全管理体系，必须了解企业目前的规范流程，并且获得企业最高管理层的支持。然后进行培训、定义作业和信息安全方针。因为所有的操作必须向下展开，90%操作都会无法完成。因此，必须要求领导懂IT技术也有核心思想，要像谈判一样不断循环建立这个系统。

在信息安全管理体系中，信息安全的核心应该以风险评估为基准，不能以达标为目标。信息安全管理体系不仅要依赖IT手段，还必须跟其它所有管理体系，包括SOX法案等联合进行。

在风险评估方法中，可以采用定性或者定量的风险评估方法。然而，对于一般的企业来说，定量分析难度极大。倘若数据库积累不够，便无进行定量分析，企业必须积累3到5年，才可以尝试定量分析，否则没有获得数据积累的效益。

比较流行的方法是以资产驱动风险评估方法。应该盘点企业风险评估中所看重的企业资产，而这个过程将非常复杂。然而信息无处不在，要理清所有信息，难度也非常大。国际企业的惯例是要构筑安全体系，首先分析风险差异。一般先进行信息安全风险评估，然后定出解决方案，确认实践与完成风险处置计划的方案。

风险评估的方法，在ISO13335中有一个方法论，据此评估外部风险和内部的脆弱点。只有威胁和脆弱点都被评估出来，才能够保证安全。脆弱点是心肝肺出现问题，威胁是感冒和病毒，而它们结合才会产生风险。

在信息安全领域，还必须注意机密性、完整性和可用性。尤其是电信运营商，必须保证业务的不间断性，如果因为自身管理疏失，就会造成客户流失。尽管机密性、完整性、可用性跟信息安全无关，信息安全的定义很狭义，但这些都值得重视，要构筑信息安全体系，也并非只有IT手段。