一般企业对于IT系统的要求，除了要能够“动”，还要“动的快速”，确保服务器、网络、用户端都能够正常运作，不然光每天处理网络不稳、电脑故障、运行速度慢这些问题，就会影响到企业整体营运的效率与绩效。

随着互联网的发展，企业IT系统变得非常重要，因此为了让企业降低风险，企业就必须要考虑更高一个层级的IT问题：“安全需求”，但很多企业却不知道该从何下手，企业该如何做好IT信息化安全防护呢？

1、 针对数据本身的保护

以往服务企业客户进行数据保护的经验中，北京IT外包小助手发现企业很容易陷入讨论“资料泄漏途径”的循环中，最后通常得出泄漏途径实在太多、防不胜防的结论。其实，与其讨论怎么封锁泄漏途径，更应该着重在数据本身的加密保护，让每一份文件只让有权限的人员存取，并且依照所属的权限来决定他对档案能采取什么动作，例如只读、可编辑、可删除等设定，现在对于数据的加密保护的技术已经不只是单纯用密码来加密。

2、 针对员工身份的保护

身份保护关键在于“确保你就是你自己”，无论是针对系统或是档案做了权限设定或加密保护，企业都要确保登入的员工是正确的，而不是已经被攻击或账号密码外泄导致的非法读取。

比如电子邮箱等都启动账号密码的多级验证以确保账号的安全性级别。

3、 针对IT设备的保护

IT设备是最容易被忽略的安全缺口，当企业客户对数据、身份都有了积极的保护措施，却常忘了“设备”是必要的载体，数据要透过设备才能被存取、人员要透过设备才能登入系统。

设备包含服务器、电脑、手机甚至平板，这些地方都潜藏了许多风险，操作系统有没有漏洞、有没有执行安全性更新、设备会怎么传送数据、怎么限制设备存取数据的行为等等。

4、 做好应急预案

1）首先企业IT部门要有良好的定期巡检习惯，实时检测企业网络环境中的异常，这部分的工作可能无法抵御泄露攻击，但至少要能够发现网络或者系统的异动。

2）要有规范的应急预案，尽可能全面地去考虑可能爆发的攻击类型，比如病毒，ddos，等等，当检测到网络或者系统异动时，第一时间启动应急预案，比如关闭所有的网络共享，关闭互联网，增加重要业务的备份频率，对重要业务进行安全检查。

3）如果情况严重。有必要时可以中断一部分业务等待解决方案的实施。 

企业在进行信息安全规划时必须考虑到以上这些问题，才能使整体规划更加严谨完整。