一般来说，在企业信息安全工作中，由管理层全面履行信息安全的管理职责，雇员落实企业确立的信息安全制度和责任，信息部门根据企业制定的信息安全策略逐步实施、完善安全架构和安全管理，同时加强第三方合同的安全条件。这些方面缺一不可，而只有这样才能有效地实现企业的信息安全管理目标。
　　
　　在企业中，负责信息安全管理的管理层对信息安全目标的要求，决定了企业的信息安全工作的走向；而信息部门对信息系统的设置和维护情况也决定一个企业是否能达到信息安全管理的目标。以下就这2个方面谈一谈企业如何设定信息安全目标，如何比较全面地设定信息安全机制，保证信息系统稳定、高效地运行。
　　
　　1、管理层对信息安全的管理职责和目标
　　
　　（1）管理层具有推动信息安全运行的管理责任
　　
　　管理层首先要建立、健全信息安全的组织机构，建立信息安全构架，并且在组织中建立推行信息安全的管理机构。其次，需要保证第三方合同的安全性，定义第三方访问信息系统的安全级别，并且特别要控制第三方合同中关于访问内部信息系统的信息安全条款。
　　
　　（2）管理层有必要对信息系统进行分类
　　
　　对信息系统进行分类有利于信息安全措施的实施和企业资产的保护。这种分类使得企业能够调整合适的资源、财力、物力对重要的信息资源和系统进行重点保护。过多的保护不仅浪费资源，对企业的正常运行产生不良影响；而保护不力，更可能导致企业信息数据和系统产生重大安全隐患。根据分类，管理层对企业最重要的信息资源和系统，应指定相应管理者，并要求登记在册，而对主要信息系统还需要指定拥有者和管理者，这样才能对信息系统分级保护，做到有效、有序保护。企业通过安全需求调查后，应根据数据的机密性、完整性、可用性对所有信息系统进行基本安全等级分类。
　　
　　（3）管理层有义务管理企业员工的个人信息安全
　　
　　管理层必须指导、普及员工关于信息安全和信息安全威胁的知识和意识，降低有意和无意人为风险；确保所有员工理解信息安全责任；确保所有员工（包括临时员工）都签订保密协议，以此作为雇佣的必要条件；建立必要的纪律程序，对有意或无意违反企业信息安全策略的员工进行处罚。
　　
　　（4）管理层对访问控制的管理
　　
　　管理层对访问控制的管理可以防止非授权访问信息系统，保证企业信息一定程度的机密性、完整性和可用性。管理层要确保完善可行的信息安全措施和程序必须包含以下元素：角色和责任———谁去做什么；授权———谁授权谁去做什么；访问控制———控制以上元素的程序文件。
　　
　　（5）业务连续性的管理
　　
　　管理层应制订业务连续性计划，保证在主要信息系统发生故障或非预期灾难发生时快速反应，保持关键业务的连续性；保证灾难发生时，有相应的应对措施尽量减少对业务工作的影响；保证数据和系统的恢复，至少保证企业重要信息系统能在低级模式下进行业务运作。
　　
　　（6）守法
　　
　　作为管理层人员，应学习、遵循有关政策和相关信息安全要求，保证遵守信息安全法律法规相关要求；遵守法律规定，进行版权保护，不得非法拷贝和使用软件和版权产品；保护重要文档以防丢失、破坏和篡改；确定信息系统中数据和文档的保存期限；确定信息访问时间；保证个人资料的保密；对信息系统、信息安全规则进行定期检查；进行系统审计，计划并实施信息环境审计，保证组织及责任清晰明确；出现信息事故和疑似信息事故时及时通过正确渠道进行报告。