常用来指导企业安全工作的理论有以下几种：

1．信息安全管理体系（ISMS）：ISMS是一种系统性的管理方法，旨在确保组织能够有效地管理信息资产的安全性。它基于一系列标准和规范，如ISO 27001和NIST SP 800-53，以确保组织在信息安全方面采取了必要的措施。

2．威胁建模：威胁建模是一种方法，用于识别和评估可能影响组织安全的威胁。它可用于确定哪些威胁可能会对组织造成最大的影响，以及如何减轻这些威胁。

3．风险管理：风险管理是一种方法，用于识别、评估和减轻组织面临的各种风险。它包括风险评估、风险管理计划和风险监控等步骤，以确保组织能够有效地管理其风险。

4．安全治理：安全治理是一种方法，用于确保组织在信息安全方面采取了必要的措施，并确保这些措施得到有效的实施和监控。它包括制定安全策略、建立安全框架和监控安全措施等步骤。

5．安全意识培训：安全意识培训是一种方法，用于培养组织员工的安全意识和技能。它包括提供安全培训、制定安全政策和规程、组织模拟演练等步骤，以确保组织员工能够识别和应对安全威胁。