信息安全（Information Security）、緊急應變計劃（Emergency Planning）、企業(yè)安全稽核及事件調(diào)查（Security Audit＆Investigation）、企業(yè)安全教育訓練及宣導（Security Awareness Training , Education & Promotion）是企業(yè)安全管理的六大方向，其中，前三者是企業(yè)安全管理的主軸，后者則是支持前三者的支柱。
1.實體與環(huán)境安全：
      實體安全的重點在于防止未經(jīng)核準的進出，影響或損害工作業(yè)務場所、資產(chǎn)和人員。環(huán)境安全則由實體安全擴大出來，意指企業(yè)在選擇營業(yè)所在地必須特別評估周遭環(huán)境的安全，例如治安是否良好、水電是否充足。實體與環(huán)境安全包含進出管制（Access & Egress Control）、活動監(jiān)測管制（Surveillance Control）兩個管制目標，以及嚇阻（Deter）、偵測（Detect）、延遲（Delay）與拒絕（Deny）四個防衛(wèi)手段；
     實體與環(huán)境安全常用設備及方法包含：墻、籬笆、鐵絲網(wǎng)等實體防御 （Physical Barriers）、涵蓋照明與防御功能在內(nèi)的燈光（Lighting）、囊括警衛(wèi)、鎖、鑰匙在內(nèi)的門禁管制系統(tǒng)（Access Control System）、CCTV等活動監(jiān)測系統(tǒng)（Surveillance System）與警報系統(tǒng) (Alarm System)。
Detection sensors, Actuators, Signalers, etc
2.人事安全：
    重點在于降低因內(nèi)部或外部人員不當行為所產(chǎn)生的風險。徐子文表示，人事安全是企業(yè)安全管理中最基本也最重要的部分，他建議企業(yè)必須進行新進人員、職務敏感或擔任重要職務人員的人事背景查核，尤其是重要的職務務必進行分工，避免全由一人負責。此外，「人情」的包袱也是必須避免的，ISO17799信息安全規(guī)范(ISMS)就規(guī)定系統(tǒng)的開發(fā)者與系統(tǒng)操作者必須身處二個不同地點的辦公室，以避免「見面三分情」的情況發(fā)生。徐子文強調(diào)，安全意識的形成相當重要，因此企業(yè)必須進行人員教育訓練與宣導，否則裝設再多的攝影機、監(jiān)視器也是枉然。
3.信息安全：
    信息安全的重點在于保護信息及其支持處理設備、系統(tǒng)和網(wǎng)絡的機密性（Confidentiality）、完整性（Integrity）和可獲得性（Availability）不受到各種方式的威脅，使可能發(fā)生的事業(yè)損害降至最低，確保企業(yè)的永續(xù)經(jīng)營；例如，程序設計師寫完程序必須向企業(yè)公開原始碼、企業(yè)Data Center必須進行資料異地備援...等等都是基于保護企業(yè)信息安全的考量。
    徐子文強調(diào)，信息安全涵蓋范圍相當廣，并非僅指網(wǎng)際網(wǎng)絡，也絕非只是防火墻，因為信息安全必須以人事、實體與環(huán)境安全為基礎，所有的科技都以協(xié)助安全管理政策為目的，否則科技只是一個產(chǎn)品，他指出，在全國信息安全會議或是全國資通安全會議上，大家都不再完全以技術為焦點，而相當注重管理，他舉例，當計算機為了信息安全的緣故裝上防火墻，卻擺在人員進進出出的大門口，如何稱得上安全？徐子文表示，信息安全涵蓋實體保護層（Physical Barriers）、邏輯保護層（Logical Barriers）、資料轉(zhuǎn)換處理&儲存（DataTransfor-mation & Storage），領域相當廣，重視信息安全，等于關照了各項安全，對企業(yè)安全管理實有相當大助益。ISO17799 信息安全管理系統(tǒng)即指出信息安全控制目標包括：Policy（擬定企業(yè)安全政策；企業(yè)安全政策必須與企業(yè)經(jīng)營目標一致）Organization（明確規(guī)范安全工作由誰負責，國外很多企業(yè)即成立了安全部門，尤其是美國）Assets Classification & Management（了解公司資產(chǎn)，以了解要保護的有哪些，值得投入多少費用）Personal Security（人事安全）Physical & Environmental Security（實體安全）Communications & Operations Management（通訊設備管理）Access Control（指邏輯保護層，例如Password）System Development & Maintenance（例如程序設計師須向企業(yè)公開原始碼）Business Continuity Management（例如緊急應變計劃）Compliance（列出須須遵循的法律，例如臺灣的個人數(shù)據(jù)管理法、營業(yè)秘密法，甚至國外的法律都會影響臺灣，也必須注意）
4.緊急應變計劃：
    對人為或天然的災害預作準備以降低其對事業(yè)所帶來的負面影響。美國以聯(lián)邦災害防治署進行協(xié)調(diào)合作工作，我國最大的緊急應變計劃中心則為消防署。
5.企業(yè)安全稽核及事件調(diào)查：
    企業(yè)內(nèi)部稽核工作原本的設計僅包含財務部分，但是企業(yè)營運不僅包含財務部分，因此財務之外的稽核工作多交由安全部門進行。此部份的重點在于提供企業(yè)安全狀態(tài)、安全危害事件的真實信息給企業(yè)管理階層作為參考或采取必要行動。
6. 企業(yè)安全教育訓練及宣導：
    企業(yè)安全警覺意識必須深植人心，此部份的重點在于提升所有員工對企業(yè)現(xiàn)存的安全威脅和顧慮的了解及關心，并且使其有能力在日常工作上支持公司的企業(yè)安全政策。企業(yè)安全的觀念需要各種管理方式落實在所有員工心中，以形成企業(yè)文化；才能在急速變遷的外在環(huán)境中，保護企業(yè)資產(chǎn)完整，確保企業(yè)能夠永續(xù)經(jīng)營。