企业的真正目标应当是怎样才能使安全事件的影响最小化，怎样才能更快地从中恢复过来，接受这一点有助于企业增强安全意识。

判断一个公司对安全攻击的准备程度如何，就如同判断一只足球队的训练效果一样。不管这个球队训练了多长时间，在正式比赛之前谁也不知道训练效果。在IT问题上，IT应当承认，不管在安全问题上投入了多少钱、多少时间和努力，特定的威胁影响到企业安全只是早晚的问题。

企业的真正目标应当是怎样才能使安全事件的影响最小化，怎样才能更快地从事件造成的负面影响中恢复过来。lm6_5zx接受这一点有助于企业增强安全意识，有利于加强对员工的教育，并使企业的安全策略更科学，更能适应威胁状况。

公司中面临风险的主要因素是数据。因而，发现和分类数据并区分其优先顺序是第一个重要任务。第二，判定谁可以访问数据，是否定期备份数据，是否部署了充分的安全控制来保护数据。第三，在数据遭到损害后，能否快速恢复。为了有效地保护数据，企业应当建立一种可以包含如下四方面信息的数据库：最有价值的数据在哪里、这些数据可以从哪些地方离开企业、谁可以访问这些数据、谁不应当访问这些数据等。

企业需要关注的另外一个方面是确认进入企业的每一个入口，其中包括物理入口。其基本要求包括两方面，一是客观地看待可以到达数据的基础架构的所有潜在入口，二是客观地评估风险及防御风险的成本。多数中小型公司通过客户端系统来保障入口的安全，这种不健全的步骤往往缺乏验证物理安全，不能确保雇员仅能访问为完成业务而需要的数据，往往给数据带来潜在的威胁。

对有些IT部门来说，安全准备的一个主要关注领域是说服管理层，使其理解实施强健安全的重要性，并使其接受安全风险总在不断变化的观念，要使其明白是企业的一种成本。