第一步内容是保证人力的安全。“人”在某种程度上讲也算是信息的资产的“携带者”。每一个信息化环节上的人员都有特定的角色扮演。而每一个角色担当需要经过严格的聘用条件，选拔，以及雇佣保密协议的限制，这是从企业信息化在人员安全角度必须考虑的问题。

       第二步是信息化系统的物理安全，需要对物理边界进行把控。例如企业日常办公中的门禁系统，门禁权限分配与管理、权限申请与把控。

       第三步是对通信等网络设备的安全管控。从广义上的服务器，到狭义上的信息化安全产品的实施和规划、验收、网络的黑客攻防，网络的安全管理，磁盘的备份都是需要做管控。一般企业的IT也是最关心这类的安全内容。

       第四步是访问控制，企业对信息系统的体系和环节都需要访问控制和人员把关，其中包括各种软件的账号管理、网络设备登陆登出管理、权限变更、人员访问和等级划分。

       第五步分是信息系统的获取和开发。信息系统的开发一般包括ERP、CRM等各种软件系统的开发和实施。在开发和实施过程中需要符合一点标准。如果企业自己开发的系统输入和输出有偏差，企业的CEO或者CIO可能会收到法律的制裁。特此外、除了企业自己开发外，企业购买供应商软件产品时，也要要求供应商提供相应的资质证明。企业一旦发生信息安全事故，信息安全事故的处理机制就显得尤为重要。比如发现问题、汇总问题、问题分析、事故处理、问题回顾、再次检测、事故报道撰写、证据收集、案例调整等，都需要对信息安全进行事故管理。