随着信息、技术的快速发展和全球信息化的普及,企业信息化已成为企业发展的总趋势,企业只有加快信息化的建设进程才能立足于竞争日趋激烈的市场。近年来,由于企业业务规模逐渐增大以及市场安全产品的大幅度增长,信息安全的管理和实施成为企业最为关注的问题。由于计算机网络以及局域网本身具有联结形式多样性、终端分布不均匀性以及网络的开放性、互连性等特征,企业的信息安全不断受到各种威胁。因此,网络信息安全和保密成为企业关心的核心问题,同时也为企业进行信息化管理提出了一个巨大的挑战。此外,对企业而言‘,信息就是资产,而资产就意味着含有风险。企业经营过程中时刻面临着由内部因素和外部因素导致的风险,因此,对企业信息安全潜存的风险进行有效全面的评估有着十分重要的意义。综上,要确保企业安稳顺利的经营以及进一步发展,建立健全一个信息安全管理及风险评估体系意义重大。本文首先分析和研究了当前企业所面临的信息、安全管理问题,详细探讨了企业信息安全管理的技术的现状问题,比较了传统的信息安全管理过程中的特点和不足。在理解信息安全管理模型的基础上,本文以大中型企业为研究背景,致力于当前企业实际经营状况的前提下,提出了一个新的企业信息安全管理系统。该系统将企业信息安全管理系统划分成八个子系统,每个子系统分配不同的信息安全管理功能,通过统一综合管理所有子系统的信息,最后,将数据信息整理汇总后提交给总系统。该系统拥有良好的可视化界面,进一步维护了企业信息安全管理工作,同时降低了企业的人力和物力。此外,针对企业面临的风险威胁,本文从企业风险评估和制定安全策略两个方面着手,重点讨论了风险模型,风险评估中信息资产识别、威胁识别以及脆弱性识别的方法,并由此构建一个风险计算的数学模型。此计算模型简洁直观,计算方法统一,具有良好的可操作性,在保证风险评估工作质量的同时又降低了风险评估的工作强度,为制定合理有效的安全策略奠定了理论基础。