当今世界已经进入信息化时代,信息系统在社会各个领域中得到了真正的广泛的应用,信息的重要性被广泛接受。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、机会和收益,使得信息安全管理成为一个组织的管理活动中越来越关键的部分。管理层需要确保信息系统适应其组织的战略,其业务战略也要恰当利用信息系统的优势。 但现实世界的任何信息系统都是一串复杂的环节,安全措施必须渗透到信息系统的所有方面,其中一些甚至连信息系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在的。没有一个信息系统是完美的,没有一项技术是灵丹妙药。 一个组织的管理层有责任确保为所有使用者提供一个安全的信息系统环境,对政府部门来说尤其是如此。在认识到安全的信息系统好处的同时,应该自我保护以避免使用信息系统时的固有风险。 电子商务出现之后,企业信息化建设有了更进一步的发展,它使得企业信息系统更加的完善、更方便快捷的满足现在社会的需求,但是同时,由于它的网络普及性,又给企业信息系统带来了更多的不安全因素。 本文先介绍了电子商务的基本概念及其安全方面的一些知识。继而概述了电子商务出现后,企业信息系统的变化与发展,针对电子商务出现后企业信息系统的安全问题和现行的方法、安全模型的局限性做出了分析,并根据这些特点,改进了现行的安全模型,建立了基于电子商务的系统数据安全模型和访问控制安全模型并提出了基于电子商务的企业信息系统安全的评估标准,旨在通过保证信息系统的机密性、完整性、可靠性和可用性来管理和保护组织的所有信息资产,通过方针、原则、程序、组织结构和软件功能来确定控制方式并实施控制,组织按照这一体系框架管理信息安全风险,可持续提高管理的有效性和不断提高自身的信息安全管理水平,降低信息安全对业务持续发展造成的风险,最终保障组织整体目标的有效实现,并利用信息技术为组织创造新的战略发展机遇。