在灾难和风险来临之前，应尽量事前演练好应急恢复步骤，就像火灾有灭火演练一样，应为信息系统建立应急恢复制度。再按照事前的恢复制度进行演练，如实记录实际碰到的情况和总结处理经?验，如突然断电，网络中断，病毒侵袭等。一家合资企业专门从国外总部带来的信息化风险防范要求与制度有厚厚的一大本，企业也按照这些制度逐一演练。而在当时，国内企业对信息化风险的防范意识还未萌芽，对突然做些诸如断电测试等工作还非常不解，但正是这一套制度保证了这家企业直到如今,信息系统仍然安全运行。

　信息是一个企业生存与发展的基本元素。对企业来说，凡是企业在进行大量人力、物力投入后所得到的数据信息资源，都可以列入机密信息的范畴。如：技术图纸、财务报表…
身份认证
　身份认证是安全管理体系建设的基础。首先要区分出哪些用户是经过授权的，进而加强对终端登录的安全管理和控制。企业中的用户只有通过合法身份认证，才能进入企业内网访问。
数据加密
　数据加密是在身份认证的基础上进一步确保信息的安全性。目前，比较先进的加密技术是基于操作系统底层的驱动级透明加解密。
权限管理
　数据信息应用权限的管理过程，就是一个权限区分和细分的过程。权限区分，指的是对于数据信息使用者的权限进行区别对待。
日志审计
　日志审计，可以对所有的文件操作进行详细的记录，包括：文件创建、编辑、存储、传输、删除等整个生命周期的全过程。
文件备份
　文件备份是整个信息安全管理过程中的重要一环，也是企业在面临数据毁坏这种致命安全风险时的有力保护手段。它能够帮助企业保护其内部核心数据信息的完整性和安全性，提升企业重要文档的抗破坏能力。