网络风险无处不在，稍不留神随手点进一个网址链接，都有可能导致数据外泄。

如今企业多转型数据化甚至自动化，连结云端网站工作与储存档案已经成为处理日常业务使用之设施之一，万一员工疏忽或者错误的行为，导致数据泄漏或者被植入病毒，导致计算机内部文件被恶意软件封锁以致无法读取工作等，那真的是非常糟糕。

要杜绝这样的“万一”，除了勤劳备份，还需要加上制订作业程序，与不断提醒与教育员工何谓网络风险与对网络安全应采取的方法，让员工意识到并知道如何遵守相关作业程序。过去曾经有分享过一篇与网络安全风险相关的文章，有兴趣的读者可以前往阅读。

在制订作业程序前，首先可以先自我检查——企业在网络安全中的管理角色为何？企业所掌管的信息或数据的风险级别为何？然后再拟定技术系统保护和网络保护守则以免受常规攻击。

举例，曾经有一家证件申请中介被其外国客户要求呈现其企业内所执行的信息安全管理作业程序。

这源自于中介因业务性质需索取许多关于客户的私人数据，这些数据不仅机密，还可能牵涉个人财务家庭背景等资料。

由于这些数据属高度私有，自然其管理风险级别就比普遍高出很多，该企业鉴于私有资料保密条例要求之下，而针对中介作出如此要求。

在制订管理制度时，管理层需要关注组合核心业务的关键业务活动和信息，其中包括知识产权、关键客户信息、专有技术、战略等，衡量关系轻重采取关键控制。

下来就是衡量信息安全，进一步定义，需要保护哪些信息，我们要保护哪些威胁，信息安全对企业有什么好处，如果失败会对企业造成什么危害等。

从中制订一套管理办法，以实现信息安全为目标。

取上例，该中介被要求呈现的作业程序并非针对企业内部所有信息，而是针对该客户对申请证件的数据进行严格的信息安全管理。