克服上述内网安全项目实施过程中存在的问题，需要系统的规划项目的全过程。Chinasec内网安全专家基于长期的项目实施经验，向笔者谈了几点体会。

　　内网安全与传统的网络安全很大的差异性在于更多的关注内容的安全风险管理，可以理解为更多侧重于内容安全领域。项目实施过程中会不可避免涉及到组织管理流程的变更、岗位职能的重新定义。因此需要从管理咨询的角度重新梳理企业现有的组织结构设计和业务流程，使得信息安全风险管理融入组织业务流程中。“更多的将其作为管理的内容对待，而非单纯视为技术性问题”，Chinasec技术顾问特别重申了内网安全项目的管理属性。

　　内网安全从价值形态角度分析，是一个“业务相关”的系统。一些厂商所极力宣称的“业务无关”性更多意义上是一个技术实现上的概念。因为内网安全的核心是数据的风险管理，而数据随业务系统而生，后续流转、交换都与业务密切相关。因此从应用形态上讲，内网安全系统必然是一个“业务高度相关”的系统。让业务部门尽早参与到项目中来，有助于加强与业务部门的沟通，取得业务部门对系统实施的认同，尽早规避相关的实施阻力，避免让系统成为IT技术部门独立运作的内容。

　　传统有关“三分技术，七分管理”的安全思想，在内网安全的应用领域体现尤为明显。因为内网安全所涉及的主体，需要实现的安全目标等与组织的管理结合度更高，相应的对于管理的依存度也更高。从Chinasec参与实施的上千个典型案例分析，缺乏管理配套支持的项目，大多推进得异常艰难，系统应用的效果也不佳。

　　业务创新始终是组织发展的主导性问题。作为信息安全管理部门的职能，应该立足于服务组织的业务创新职能要求。