信息安全建设是一个循序渐进、逐步完善提升的过程，信息安全建设大致来说要经历三个阶段：基本阶段、规范阶段、改进完善阶段。每个阶段在信息安全组织、信息安全管理、信息安全措施上都有所侧重，主要在安全组织健全程度、安全管理规范性、安全技术措施严密性等方面表现出来。

　　信息安全建设是一个复杂的系统工程 ，一般来说，信息安全工程包含八个基本环节和步骤。

　　第一步，分析信息网络系统所承载的业务和基本安全目标。

　　第二步，在所管辖的信息网络范围内，进行信息网络安全风险评估，建立信息网络资产清单，识别信息网络资产的威胁和脆弱性，确定信息网络资产的风险类型和保护等级。

　　第三步，根据信息网络资产的风险类型和保护等级，制定合适的安全策略和安全防护体系。

　　第四步，根据信息网络的安全策略，设计安全防范机制，选择风险控制的目标，实现风险控制管理。

　　第五步，将信息安全建设工作分解为若干个信息安全工程项目。典型项目有漏洞扫描和安全风险评估项目、用户统一认证和授权管理项目、网络防病毒项目、桌面机集中安全管理项目、服务器安全增强项目、网络安全监控项目、网络边界防护项目、远程安全通信项目、网络内容管理项目、补丁管理项目、系统和数据容灾备份项目。

　　第六步，根据信息安全工程项目要求，制定实施计划，调整信息网络结构和重新安全配置，部署选购合适的安全产品;制定相应信息网络安全管理制度、操作规程以及法律声明。

　　第七步，对信息安全工程项目进行验收，检查信息网络的安全风险是否已经得到有效控制; 检查信息网络的安全保障能力是否达到业务安全要求。

　　第八步，验收后，工程项目建设成果正式交付运行; 并根据安全控制系统的实际运行情况，及时调整安全策略，改进安全控制措施。