對于應該采用哪些控制方法，需要精心規劃，注意控制細節。信息安全管理需要組織中所有員工的參與。例如，為了防止組織外的第三方人員非法進(jìn)入組織的辦公區域，獲得組織的技術(shù)秘密，除了物理控制外，還需要組織所有員工參與，加強控制。此外，還需要供應商、客戶(hù)或股東的參與，以及組織以外的專(zhuān)家建議。

信息系統和信息網(wǎng)絡(luò )是支持信息的重要商業(yè)資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資本流動(dòng)、效益、法律符合性和商業(yè)形象至關(guān)重要。

目前，越來(lái)越多的組織及其信息系統和網(wǎng)絡(luò )面臨著(zhù)計算機的安全威脅，包括計算機欺詐、間諜、故意破壞、火災和洪水，如計算機病毒、計算機入侵和DoS攻擊。組織對信息系統和信息服務(wù)的依賴(lài)意味著(zhù)更容易受到安全威脅的破壞。公共和私人網(wǎng)絡(luò )的互聯(lián)和信息資源的共享增加了訪(fǎng)問(wèn)控制的難度。

很多信息系統本身并不是按照安全系統的要求來(lái)設計的，所以?xún)H僅依靠技術(shù)手段來(lái)實(shí)現信息安全有其局限性，因此信息安全的實(shí)現必須得到管理和程序控制的適當支持。確定應該采取哪些控制方法需要精心規劃和注意細節。信息安全管理至少需要組織中所有員工的參與，也需要供應商、客戶(hù)或股東的參與和信息安全專(zhuān)家的建議。