1. 资安政策与组织
　　资安政策为一切资安执行事务的基础，且为组织执行资安事务的依循准则，故资安政策的发展不可不慎重。明确的资安政策方向，可以展现对资安的支持与承诺。而健全、有效率的信息 安全组织才能使政策的订定、推广顺利进行。考虑信息 安全事务的推广效率、高阶管理层的支持、涵盖范围的普及性、组织变更的弹性、资源的有效运用、决策及推动的联系等，根据实际状况 设计如放射型态、联邦型态或中央型态等不同形态的资安组织，才可以顺利推动信息 安全管理系统。
　　2. 安全管理流程
　　为符合信息安全政策的要求，以及利用管理措施降低风险，因此必须新增或修订现有的资安管理流程，以适当的资安管理措施，供员工作为落实信息 安全的依据。
　　3. 安全管理程序
　　资安流程中各项步骤的详细实施方式及责任，必须明确订定，员工才会了解实际实施时要执行的工作内容。因此必须根据资安流程的内容，制定更为详细的管理程序。
　　4. 资安认知训练
　　建立信息 安全管理系统之后，内部许多原有措施可能已经修订，并增加了许多新的措施。因此必须策划实施员工的资安认知训练，让员工了解企业对信息 安全的决心，以及相关的管制措施，并要求员工确实遵守，一起为公司的信息 安全努力，以维持公司的竞争力。
　　5. 安全需求定义
　　除了采取管理的方式来加强信息 安全之外，适当的使用信息科技，亦可协助管理人员加强信息系统的 安全性。因此，根据信息 安全策略、政策的要求，以及相关管理流程或程序的需要，定义资安技术的需求，可作为引进任何信息 安全技术的评估标准，协助确保引进的资安技术可以满足公司的实际资安需求。
　　6. 资安架构 设计
　　信息系统的架构 设计为信息 安全的基本。良好的信息架构，可以支持各资安解决方案，透过信息技术提供企业可倚赖的信息系统使用环境。按照不同的应用服务，会有不同的资安需求，而为了满足现有的资安需求，并提供引进未来资安技术的空间，必须要靠一套 设计良好并可弹性扩充的信息系统架构才能提供各应用服务足够的 安全性。一般而言，依据使用者存取环 ? 的信任等级，将企业的 IT Infrastructure 应切割成不同信息 安全网域 (Security Domain) ，不同资安网域彼此之间互相隔离，并经由界限服务 (boundary service) 保护， ( 如 filter router 、 firewall 等 ) ，将 数据按照重要性及服务对象分别置放于不同网域，并针对各网域建置不同的资安控管系统。这些资安控管系统，应可以提供应用服务使用，以强化资安功能。
　　7. 解决方案 设计
　　根据风险评估的结果，部份风险管理的对策，可能为资安技术或解决方案的导入。这步骤为根据选择的对策，参考企业的 安全需求，以及现有的资安架构， 设计该对策的解决方案。
　　8. 产品选择
　　完成解决方案的 设计之后，应该按照 设计要点，考察业界目前已有的产品。根据产品的特性、优点及缺点，以及建置所需成本，和建置之后可带给企业的效益，选择可行的解决方案。
　　9. 安全解决方案实施
　　选购资安产品之后必须开始建置。这时必须注意，除了确认产品中所需的关键功能均需建置之外，并应同时参考现行资安流程或程序，订定实际使用及管理的程序，并要求确切执行，以确保解决方案的实际效益。
　　10. 安全控管与侦测
　　所有的资安管理系统措施及资安解决方案，均应持续的监控，以了解目前状况，提早发现可疑事件，及掌握资安事件的发生。因此资安管理的程序与流程必须包含控管与侦测的部份，并必须按照规定实施。
　　11. 安全管理评估
　　资安管理系统的实施成效，必须定期评估，才能了解是否确实有效，因此必须定期自行稽核。有效的稽核制度才能避免人员的倦怠、忽略，成为资安持续运作的主要推动力，提供信息 安全的保证 (assurance) 。因此除了在资安管理的程序与流程必须包含稽核制度的规定外，还必须订定实施计划定期主动稽核。
　　12. 安全技术评估
　　由于信息系统与业务流程息息相关，因此包含信息系统架构、网络设备、服务器平台、应用系统等，均应定期评估目前使用技术的 安全性，以及详细的实施状况，以了解其弱点及风险之所在，而加以控管。
　　按照上述的步骤，企业即可建置一套完整的信息 安全管理系统，并搭配适当的资安技术，提供一个 安全使用信息的环境。但是实际的建置成效，仍有赖一些关键因素。根据 IBM 的推行与顾问经验，企业能够成功的导入信息 安全，必须考虑以下几点：
　　1. 取得高层授权
　　在实施任何资安方案之前，最重要的，乃是取得充分的授权，而对于大型企业而言，这更是极为关键的重点。由于大型企业组织众多，一旦导入资安方案造成员工的工作习惯或流程必须变更，所带来的冲击亦更为庞大。高级管理阶层的明确宣示，可以让员工明确感受到企业加强资安的决心。这些可以配合企业原有的文化，透过董事长或总经理所亲自签署寄发的电子邮件、以及在内部大型集会活动的正式宣达，这些方式都可以让员工了解企业对信息 安全的重视，而主动去了解其自身所应做的改变。
　　2. 遴选适当资安项目人选
　　在进行现况评估时，大型企业常面临的问题为评估结果是否能确实代表企业目前的状况。现况评估的结果，将会影响后续资安措施的选择与 设计，因此遴选适当人选作为评估之受访对象，乃是成功的重要关键。受访对象应为相当熟悉该单位所有业务的主管，并对该部门的任务目标极为清楚。而受访人员在接受面谈之前，并应先由其主管告知面谈的主要目的为了解现况，并非作为考绩评比或是稽核所用，因此应详细而清楚的说明现行状况，才可避免顾问人员忽略了现有的资安措施或缺点。
　　3. 设计简单明撩的信息 安全政策
　　企业在建立信息 安全政策的过程中，可以用几个简单的指标来检查政策的良窳：
　　(1) 兼顾 安全防护及生产力；
　　(2) 安全政策的执行度；
　　(3) 简单扼要、易于理解。
　　此外，亦需建立企业内部员工的认知，使每一个员工都了解 安全政策目的，如此 安全政策才能成功。
　　4. 有效的 安全认知训练
　　员工的 安全认知，乃是大企业在推行信息 安全时最难执行，以及最不易了解成效的一部份。推动员工的 安全认知，可以使员工了解信息 安全的重要性，主动配合 安全规定，养成良好的工作习惯，以下列出三个重要关键：
　　(1) 传递讯息：倡导员工 安全常识之前，必须先决定倡导内容。过多繁复的内容将让员工不易吸收，然而过于片段的信息则会不易让同仁了解实际的目的，因此员工不会确实执行。因此在倡导之前，必须先确认倡导的目标，并使用简明扼要，不拗口的字句说明，最好可以让员工朗朗上口，效果更佳。
　　(2) 传达机制：为了确保传达的有效性，必须要引起员工的兴趣与注意。常见的作法包含了透过寄给全公司的信件倡导，放在企业内部入口网站的首页，在重要的出入口张贴宣传海报等。此外，适当的办理一些活动，例如举行有奖征答竞赛、鼓励员工参与资安口号 设计 等，均能有效的提高员工的注意力，进而增加他们对资安的认识程度。
　　(3) 效果评估：透过效果评估，可以了解所有的认知训练活动成效。这部份的实施可参考下列 IBM 实施稽核的经验分享。
　　5. 确实稽核
　　良好的稽核可以协助确认资安措施的实际实施状况，也就是确保所有资安措施均有落实。以 IBM 为例， IBM 设立了独立的全球稽核单位，全年度在世界 170 个分公司进行信息 安全的稽核，一旦被评为「非满意」等级，该分公司不仅须提出改善报告，相关人员并将遭到惩戒。另外每位员工每年都需要完成信息 安全自我稽核评估，切实地稽核平时对于信息 安全的落实程度。除了可以确保资安措施的落实之外，更同时再次向员工宣示了公司对信息 安全的重视程度与决心，使员工本身更加会注意个人在资安方面的责任。
　　6. 善用顾问经验
　　许多大型企业在建置信息 安全管理系统时，会邀请顾问公司的协助。由于顾问均为信息 安全专家，且为独立的第三者，意见较为超然。因此应善用顾问的专业知识、经验及超然地位，利用顾问的力量以 引导 各单位形成实施资安的共识，并形成一股实施的力量，以加速资安措施与方案的导入及推行。
　　建置良好的信息 安全环境是一件艰难的任务。清楚地掌握现有问题与弱点，缜密地评估各式风险，遵循既定的流程与规范不断改进以减轻资安事件可能带来的伤害，并持续要求落实各项资安措施，才能有效达到信息 安全的目标，以最佳的状况持续支持企业的营运。