三分看建設，七分看運維。

一是做好規劃

二是資金有限情況，選好關鍵必要專案，能見效快，好鋼用在刀刃上。

三是健全制度保障，明確職責，系統業務匹配度高，上線前培訓到位。

四是使用、維護各個環節盡職盡責，做好運維用起來，做好監督考核及評價。

企業資訊保安投入要跳出“錢”這個框框！企業資訊保安投資不只是錢的問題，要輔助其他手段，才能實現價值最大化。

第一，非金錢的方面。要讓全體員工具備資訊保安的意識，強化資訊保安培訓教育。另外，還需要透過簽訂保密協議、制定相關制度等手段增加員工違反資訊保安的成本，讓員工不敢洩露資訊。

這一點是非常重要的，因為，如果員工沒有安全意識或者違法成本太低，即使金錢投入太多，也無法做到資訊保安，畢竟資訊安全系統也是人來操作的。

第二，金錢方面。資訊保安建設不可一蹴而就，一方面是因為資金投入太大，另一方面還是因為資訊的價值隨著情況變化會增大或變小。在當期應根據資訊價值的大小和洩露風險大小進行排序。優先考慮那些價值大，洩密風險高的資訊保安問題。

對於價值低且洩密可能性小的資訊可放到以後再進行管理，而不是一下把所有資訊都以安全的名義花大價錢管理起來。就像一個人不能以安全為理由不出門、不開車，這樣做既因噎廢食，也會帶來過大投入。

第一方面的措施尤其不可輕視，做的好了能夠節省大量金錢，實現總體資訊保安投入價值最大化。