长久以来，企业信息系统建设是企业战略的重点，而在不同的企业中，对信息化的重视程度不同和战略侧重点不同系统的，让企业对不同的信息系统的重视程度大不相同。

　　常规而言是实时交易的业务系统可能按照最高标准要求其性能和安全等方面，而想内部业务管理系统则很可能得不到认识充分的重视而往往成为能够击溃大坝的蚁穴。这里并不是要讲某个具体的安全解决方案，而是从信息化管理的角度阐述对信息系统的管理要求是需要有等级保护的指导的。

　　公安部刚刚破获的CSDN泄密案件已经拉响信息系统安全警报。对此，有著名女网警之称的公安警官高媛指出，金融业系统与财产安全息息相关，而其他行业则往往被忽略。实际上各行各业的信息系统如果遭到破坏都会对被害客体产应影响，而这些影响所产生的威胁往往对于企业的用户本身却是致命的。但不同行业信息系统对用户的影响却又存在着很大的不同。

　　从国家颁布的指南可以发现，企业信息系统并不是说企业不属于所谓的“涉密”机构或行业就高枕无忧，实际上无论是出于对自己企业的软件资产保护和数据的安全保障，还是对用户的信息安全负责登记保护都是一种有效的保障方式。

　　但并不是说所有系统都要用最高级别的等级来认定，选用适当的等级策略是可以作为CIO做企业信息化规划的一个考虑因素之一。

　　高媛认为，CIO要清楚对“可控性”的理解。企业信息化的保护工作在很多时候从硬件层就采用国外厂商的产品难道就意味着我们的信息系统存在着很大的安全风险？实际上如果要是完全强调所谓的“自主产权”则会让我们做信息化工作中可选余地变得少的可怜，而往往这样尽管达到了所谓的“可控性”，但是这个可控并不意味着没有风险，如果某个点上的“可控”影响到业务的连续性往往被看作是得不偿失的一种方式。

　　对于，企业信息系统的安全规划，高媛指出，一般的互联网公司或者大型电子商务更加注重这方面的内容，而传统企业则考虑相对滞后。为企业的数据是企业至关重要的一种资产，实施风险评估一方面要从代码方面考虑，但并不限于代码的走查;另一方面应该加强业务场景的模拟，用技术的角度评估系统的风险存在性。同时，企业可以考虑在公安部认定的全国102家公安部具备评测认证资质的机构进行风险评估认定和验证。

（申安安）