信息时代，企业的运转在很大程度依赖于各种信息系统的支持。

从电子化采购、数字化制造、会计信息化到网上的电子商务，数字化企业的日常动作需要大量信息系统的支持。保证信息系统良好的运行状态和安全一直是企业所关注的重要问题，特别是信息系统的安全问题，关系到企业的生死存亡。

一般来说，信息系统安全包括信息系统的实体安全、信息系统软件安全和信息系统中的数据安全等三个方面。

信息系统中的实体安全是指对系统所处环境、设备、设施、载体和人员等采取的安全对策和措施。对实体安全可以采取的主要措施有以下几方面：对信息系统所在的环境有一定的要求，计算机机房重地应远离易燃、易爆、有害气体等各种危险物品；机房应有监控系统，实施监控和监视；计算机机房的电源、通信设备应有防雷措施，要配有不间断电源等；对存储大量信息的磁介质、半导体介质、光盘介质等载体采取安全保护措施。

信息系统的软件安全主要是保证所有计算机程序和系统的文档资料免遭破坏，软件安全包括的内容有3个方面。

第一，操作系统的安全。在研究信息系统的安全问题时，首先应该从操作系统本身存在的问题来考虑如何设计和实现一个安全的操作系统，以及操作系统如何为用户提供各种安全保护措施。

第二，数据库系统的安全。对于数据库系统安全的基本要求归纳为：数据库的完整性、保密性、可用性及有用性。主要从安全管理和存取控制两方面来保证数据库的合法使用；另外，为了防止攻击者借助某种手段直接进入系统访问数据而造成数据泄漏，还可对数据库进行加密；对一些无法避免的破坏则可采用数据库恢复技术进行补救。

第三，通信网络的安全。对通信网络安全的威胁有偶然和故意两种。

偶然发生的威胁指天灾、故障、误操作等；故意的威胁指第三者恶意的行为和电子交易对方的恶意行为。针对这些威胁采取的安全措施有存取管理技术、加密技术和防火墙技术等。

信息系统中的数据安全主要是保护数据的完整性、保密性和可用性，防止泄漏、非法修改、删除、盗用和窃取数据信息。对信息系统数据安全保护的主要措施包括：对重要的数据及系统状态进行监控，对访问数据的用户进行的读、写、删除、修改等各种操作进行监视，而系统管理人员能够通过特定的方式随时了解、掌握系统或数据的运行情况，并对不正常的运行状况和操作进行控制；通过验证用户的身份，避免非法访问；按用户的不同工作岗位，分别授予只读、只执行、可改写等不同的权限；对重要数据防止人为破坏；重要的数据要有多个备份，且将它们分别存放在不会同时受到破坏的地方；存储重要数据的计算机系统与外部实现物理隔离，并进行电磁屏蔽。

财政部、中国证券监督管理委员会等五部委联合发布的《内部控制应用指引第18号—— —信息系统》中明确指出“企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行”，“企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能”。从以上可以看出，企业可以通过建设和使用信息系统来完成手工无法完成的工作，从而提高企业的竞争优势。

对于企业来说，一方面需要从技术层面对信息系统安全进行管理，更重要的是加强员工素质的提升，提高员工的安全意识，从人文社会角度解决信息系统的安全问题。