對(duì)于應(yīng)該采用哪些控制方法，需要精心規(guī)劃，注意控制細(xì)節(jié)。信息安全管理需要組織中所有員工的參與。例如，為了防止組織外的第三方人員非法進(jìn)入組織的辦公區(qū)域，獲得組織的技術(shù)秘密，除了物理控制外，還需要組織所有員工參與，加強(qiáng)控制。此外，還需要供應(yīng)商、客戶或股東的參與，以及組織以外的專家建議。

信息系統(tǒng)和信息網(wǎng)絡(luò)是支持信息的重要商業(yè)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、資本流動(dòng)、效益、法律符合性和商業(yè)形象至關(guān)重要。

目前，越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著計(jì)算機(jī)的安全威脅，包括計(jì)算機(jī)欺詐、間諜、故意破壞、火災(zāi)和洪水，如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵和DoS攻擊。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴意味著更容易受到安全威脅的破壞。公共和私人網(wǎng)絡(luò)的互聯(lián)和信息資源的共享增加了訪問控制的難度。

很多信息系統(tǒng)本身并不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的，所以僅僅依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性，因此信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)該采取哪些控制方法需要精心規(guī)劃和注意細(xì)節(jié)。信息安全管理至少需要組織中所有員工的參與，也需要供應(yīng)商、客戶或股東的參與和信息安全專家的建議。