軟件安全
　　自主研發軟件的專利及外購軟件的許可證管理均已成為企業不得不重視的問題，一旦疏忽就有可能給企業帶來很大的經濟和名譽損失。通過信息安全管理體系的建設，許多企業要求軟件許可證也作為固定資產由專門部門管理，使用須進行登記，采購須申請，到期須提醒。人員變動、業務變動都有可能導致軟件的變更，因此對軟件許可證的管理并不是采購后進行登記一勞永逸的事情，在日常工作中需要保證一旦發生變化即更新許可證信息，且提前做好許可證過期的準備工作。
　　數據安全
　　數據對于企業是至關重要的，對其進行的安全管理措施更需加大力度。對存儲數據的移動介質要做到登記并限制使用人群；對于大批量的數據清楚需要經授權才可執行；同時數據備份須落實到位，從業務角度識別數據備份需求，清晰定義數據備份策略（包括備份方式頻率等），的；數據備份需要進行記錄，并定期進行恢復性測試保留記錄，從而降低數據損失的風險。
　　物理安全
　　大多數企業都設立了門衛、保安、前臺等崗位，通過信息安全管理體系的建立，也采用了訪客登記，應用門禁系統等措施，對于敏感區域（例如財務、機房、研發中心等）進行了隔離或更高權限的物理訪問控制。但訪客登記進入后是否可以到處參觀，是否有專人陪同并登記，進入和離開的時間是否進行了記錄，必要時是否提交參觀申請得到授權；員工門禁卡和鑰匙的領取是否進行了登記，敏感區的訪問是否提交了申請等這些方面均是物理安全的以保障的控制點。
　　安全檢查
　　安全檢查與年度或半年度的內審并不同，審核通常會基于行業要求、標準規定和內部規范進行能夠檢查，安全檢查目的是排查各方面的安全隱患，降低安全事件發生的風險，可以是隨機，也可是定期的。每次檢查結果可保存，可作為日后改進和信息安全管理體系（ISMS）有效性測量的依據。
　　安全事件
　　信息安全事件一旦發生，就須快速響應妥善處理，否則可能會給企業帶來更大損失。首先，企業須清晰定義什么是信息安全事件，使大家對信息安全事件形成相同的認識；第二，可根據信息安全事件的嚴重程度進行分級，定義不同級別的事件匯報途徑、升級時間和處理要求；且在整個公司公布相關要求，做到發生安全事件即報告記錄并快速響應處理。對于安全事件的管理可參照ITIL或ISO20000 IT服務管理的最佳實踐和國際標準的事件管理章節。
　　安全培訓
　　安全培訓也是一項應持續的長期活動，安全培訓可針對不同對象分成不同的培訓，可以定期組織面向管理層的信息安全標準、法律法規解讀的管理培訓；面向全員的信息安全意識普及性培訓；針對IT相關技術人員的信息安全技術知識的專業培訓；面向信息安全運維和管理人員提供的信息安全相關資質認證培訓（CISSP、CISP、ISO27001主任審核員等）。建議企業對培訓過程、結果進行記錄，可作為信息安全體系建設的記錄和有效性測量的依據。
　　由此可看出，信息安全管理體系的落地貌似簡單，并非易事，貴在堅持，以上工作均需長期執行，才可起到效果，逐步提升企業的信息安全管理水平并將信息安全滲透到企業的各個角落中形成安全的工作環境。
　　從上文中可看出，基本每塊內容都提及了記錄保留相關信息等字眼，對這些長期工作的記錄保留目前各個企業采取不同的形式，有的領域采用紙張記錄，有些領域利用公司的一些操作平臺進行記錄（例如OA、IT服務管理系統等），目前市面上協助信息安全管理體系落地的工具很稀缺，谷安天下數名信息安全領域的資深顧問共同總結多年信息安全管理方面經驗結合各行業特點，開發了協助各行業企業建立并維護信息安全管理體系的一套工具，涵蓋了上文提及到的各個領域的安全運營管理。管理+工具的使用協助您將信息安全管理體系在貴企業中落地實施并持續改進。
?