在建立信息安全管理体系(ISMS)过程中企业会投入很多资源进行资产收集、风险评估、采取种种控制措施降低风险、且制定相关的管理制度规范以降低企业风险，提升员工信息安全意识，从而达到提升企业整体信息安全管理水平。但如何可以真正的将信息安全管理体系落到实处，而不仅仅停留在一年一到两次的风险评估、突击性的控制措施实施和一套看似完备的信息安全管理制度，这可能是许多信息安全管理体系管理者经常思考且关注的话题。就此话题，我想简单总结一下在这方面的经验，希望籍此能启发您的更多灵感。
　　
　　通知公告
　　
　　通过信息安全相关公告通知发放的方式，在企业中渗透信息安全各方面的信息和知识，逐渐形成信息安全无处不在的工作氛围，提升全员信息安全意识。信息安全公告的内容可以包括行业在信息安全方面的新要求或指引的发布;企业内部信息安全相关要求的发布;近期信息安全的以及发生的信息安全事件等信息。信息安全公告的发布周期和发布形式可以根据企业自身情况而定，通过企业内部使用的公共信息发布平台、电子邮件、电子期刊等形式均可。
　　
　　帐号管理
　　
　　建议企业对各类帐号进行严格管理，包括基本帐号(员工入职后默认都需开通的帐号，例如邮箱帐号，OA帐号，所在部门的公共文件夹等)、工作所需的各类应用系统帐号(通常根据岗位职责所需开通的帐号)、特殊权限的帐号(例如应用系统管理员的帐号，数据库管理员的帐号，域管理员的帐号等)，VPN等特殊应用的帐号。从管理角度，不同类别的帐号申请需要不同级别的管理人员授权，一方面企业需清晰识别各类账号并定义申请流程和授权方式;同时也需要保留必要的申请记录以便查证，及测量体系实施的有效性。从使用角度，需要加强对员工的培训并制定必要的规范(例如不允许帐号共享，密码定期修改等策略)，以确保帐号不被滥用误用，从而降低信息安全事件的发生。
　　
　　人员安全
　　
　　员工作为企业信息使用和传递的重要载体，员工变动可能会给企业的信息安全带来很大影响。在员工发生变动，即员工入职、转岗和离职几个关键点进行控制，可大大降低其对企业信息安全的影响。因此在入职前，许多企业会对关键岗位的员工进行背景调查并形成记录，签订保密协议等;发生内部职责变动时，要求员工填写工作交接单，删除其原有岗位账号等措;离职时，要求员工填写离职交接单，清理数据，归还物品。同样，在这些关键点，企业最好能制定明确的交接审批流程并妥善保留记录。
　　
　　设备安全
　　
　　通常企业在资产管理方面相对完善，但对设备自身的信息安全管理相对弱很多，IT设备承载大量的企业信息数据，在维护过程中无论是对设备自身进行的更换、更新，还是对其承造的系统、应用和数据进行的配置调整、结构调整等变更均有可能对其中的信息数据造成不利影响，甚至有可能导致应用不能使用影响到企业的正常业务操作。因为对IT设备变更进行控制是至关重要的，在实施变更前，须根据变更的紧急程度和可能带来的影响程度进行变更分类和风险评估，制定详细的变更计划并得到相应级别的授权;变更实施后须对变更结果进行记录且进行回顾，以确保变更实施的成功和经验总结，具体实施方法可参照ITIL或ISO20000IT服务管理的最佳实践和国际标准。
　　
　　软件安全
　　
　　自主研发软件的专利及外购软件的许可证管理均已成为企业不得不重视的问题，一旦疏忽就有可能给企业带来很大的经济和名誉损失。通过信息安全管理体系的建设，许多企业要求软件许可证也作为固定资产由专门部门管理，使用须进行登记，采购须申请，到期须提醒。人员变动、业务变动都有可能导致软件的变更，因此对软件许可证的管理并不是采购后进行登记一劳永逸的事情，在日常工作中需要保证一旦发生变化即更新许可证信息，且提前做好许可证过期的准备工作。