一直以来，无论是行业用户和安全咨询顾问，都将信息安全的建设聚焦在安全产品、安全技术、安全服务方面，视野局限于用户IT系统中Firewall、IDS、IPS、UTM等信息安全基础设施建设，也就是狭义的信息安全领域。但是近年来，随着用户在信息化方面的IT规模逐渐扩大，尤其是政府、电信、金融行业用户IT信息安全的范围、复杂度和重要性在不断增加，单纯的信息安全产品购置、部署、实施方案已经无法满足行业用户的信息安全需求了，IT信息安全在向更高层次的范畴延伸。首先，从信息安全基础建设提升到信息安全管理的概念，自IATF框架、13335标准、等级化保护等引领而来的本土化安全管理体系，信息安全理念开阔到整个企业IT架构的组织安全;然后，相对于商业风险而言，剥离用户在企业层面的技术风险，帮助用户解决的不再仅仅是与业务紧密相关的信息安全问题，通过用户的技术风险与商业风险的管控结合，构建促进企业业务发展的安全风险管理（ERM, Enterprise Risk Management）。

　　对一个企业来说，如果通过闭门造车的方式形成自己一套粗劣的方案，不仅仅低效而且由此为企业带来极高的安全风险，如若通过对国外成功案例简单的模仿、复制和粘贴而企图达到信息安全的高级阶段显然是削足适履，这也正是国外信息安全咨询机构在国内水土不服的原因之一。实践证明，尽管前期建设需要一些时间和努力，IT基础架构库（ITIL，Information Technology Infrastructure Library）以基于最佳实践的标准化的、集成的过程和理论方法，在改进组织实现和管理信息安全方面卓有成效。

　　ITIL针对事件、变更、问题实现立体的信息安全流程管理

　　具备了信息安全基础设施和安全标准的基础，信息安全管理者将面对以下问题的解决：首先，对安全事件的管理。对于一个企业或者机构来讲，指定期限内发生的信息安全事故数量，描述其安全问题类型、造成的影响、处理解决时间、花费时间和金钱代价等问题至关重要，能够正确说明潜在的安全需求，甚至直接决定未来信息安全的预算。其次，对安全变更的管理。随着时间的积累，大型企业和机构的IT建设是一个庞大且复杂的设施，在此之上是更为复杂且不许停顿的业务系统，无论是硬件设备更换还是软件配置更新，一个缺乏变更登记、日志、授权、认证管理的系统变化，都将带来企业安全的风险甚至灾难。第三，对安全问题的管理。IT系统建设本身就是一个不断调试优化的过程，信息安全问题的出现、处理、解决形成的问题管理能力标志着企业信息化的水平。

　　要解决此类安全管理的问题，ITIL是一个被广泛证明具有较强操作性的理论。ITIL理论告诉我们，出现任何事情的时候，要有个服务台做初步响应，对事件做记录和分类。对事件快速处理后，应当记录到事件数据库中。如果事件反复发生，就对其进行调查，通过一个问题管理来解决同类问题，避免再发生，或者提供快速解决方案。ITIL将信息安全分解为4个关键环节：首先是策略：组织要达到的总体目标;其次是过程：要实现目标采取的行为;第三是程序：何人、何时、如何实现目标;第四是规程：采取具体行为的规程。ITIL将信息安全看作是一个控制、计划、实施、评估和维护反复的过程，藉此保证信息安全措施切实在战略、战术和运行三个层次得到有效的实施。

　　ITIL以一种结构上清晰可辨的方式来规划和实现信息安全

　　ITIL通过很多重要的途径来改进组织实施和优化管理信息安全，第一，ITIL通过要求连续检查来保证在需求、环境和威胁变化的情况下，信息安全措施始终保持有效。第二，ITIL把过程和标准（如SLA和OLA)文档化，使得其可以审计和监控。有利于组织理解信息安全规划的有效性和检查与政策法规的符合性。第三，ITIL给出了信息安全得以建立的基础(如事件管理、变更管理、问题管理），明显的促进信息安全。第四，ITIL使得信息安全人员用其他组织可以理解的标准术语来讨论信息安全，ITIL建立了讨论信息安全的通用语言。第五，有组织的ITIL框架可以防止盲目的无组织的实施信息安全措施。ITIL定义信息安全角色和职责，在安全事故中明确责任和义务。第六，ITIL中要求的报告过程，保证组织管理层有效的得到组织信息安全措施的信息。

　　很多企业管理者和信息化构建者都将信息安全看成信息系统实现业务功能过程中“成本黑洞”、“负担代价”甚至是信息化“阻碍”。ITIL划清了信息安全服务和企业实际业务的关系，使得业务过程与IT能够协同信息安全服务，这就保证了服务和业务需求相一致。其次，ITIL在最佳实践的基础上，以一种结构上清晰可辨的方式规划和实现信息安全。企业安全管理者可以从“救火队员”的工作方式解脱出来，以过程清晰、计划明确的安全管理工作方式成为企业信息安全技术的决策者。