互联网和IT技术的普及，使得应用信息突破了时间和空间上的障碍，信息的价值在不断提高。但与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示，2005年5月至2006年5月间，有54%的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序的安全事件为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。

    信息安全建设是一个复杂的系统工程 ，一般来说，信息安全工程包含八个基本环节和步骤。

    第一步，分析信息网络系统所承载的业务和基本安全目标。

    第二步，在所管辖的信息网络范围内，进行信息网络安全风险评估，建立信息网络资产清单，识别信息网络资产的威胁和脆弱性，确定信息网络资产的风险类型和保护等级。

    第三步，根据信息网络资产的风险类型和保护等级，制定合适的安全策略和安全防护体系。

    第四步，根据信息网络的安全策略，设计安全防范机制，选择风险控制的目标，实现风险控制管理。

    第五步，将信息安全建设工作分解为若干个信息安全工程项目。典型项目有漏洞扫描和安全风险评估项目、用户统一认证和授权管理项目、网络防病毒项目、桌面机集中安全管理项目、服务器安全增强项目、网络安全监控项目、网络边界防护项目、远程安全通信项目、网络内容管理项目、补丁管理项目、系统和数据容灾备份项目。

    第六步，根据信息安全工程项目要求，制定实施计划，调整信息网络结构和重新安全配置，部署选购合适的安全产品；制定相应信息网络安全管理制度、操作规程以及法律声明。

    第七步，对信息安全工程项目进行验收，检查信息网络的安全风险是否已经得到有效控制; 检查信息网络的安全保障能力是否达到业务安全要求。

    第八步，验收后，工程项目建设成果正式交付运行; 并根据安全控制系统的实际运行情况，及时调整安全策略，改进安全控制措施。