1.当员工行为习惯和安全规范相冲突时候，如何处理

    通常，如果采取的控制措施越麻烦，员工的规避行为就会越多，执行信息安全需要依赖纪律和整个组织的参与，必要时候可以采取一定的处罚措施。例如：某组织的某个雇员可以通过固定的终端访问特定的信息系统，但是需要对密码进行定期更新，且8次不能重复使用相同的密码。这是一项不受欢迎的措施，职员通常可能遗漏或忘记密码。但通过系统参数设置以确保安全策略的实施，他们被迫记下密码。这是一个典型的似乎有很高安全级别的例子，实际的安全级别低，潜在的威胁也低。对这种类似情况的解决办法就是安全教育和处罚相结合。

    2.信息资产的识别和维护如何有效跟进

   大型企业的信息资产是非常庞大的，且信息资产之间还存在一定的关联关系，这给资产管理带来了一定的难度。建议在配置管理库为CI项属性提供完整性、保密性、可用性输入接口，当配置项发生变更时候就可以对其活动进行监控。

    3.如何进行安全风险的有效测量

    信息安全管理的主要难度在于风险的测量，企业的各种信息资产(包括人员、服务、软件、硬件、管理规范)具有不同的脆弱点和风险值，如何从整体上对企业的风险进行评估和测量，制定合理的安全管理计划，确保安全资源投入的合理性是非常关键的。这就需要参照ISO27001的风险控制点建立风险度量系统，依据度量指标的风险概率进行定期的风险测量，并给予定性或定量的整体评价后，确保找到企业安全管理中的短板，形成有效的安全管理计划或实施相应的改进措施。