對于應(yīng)該采用哪些控制方法，需要精心規(guī)劃，注意控制細節(jié)。信息安全管理需要組織中所有員工的參與。例如，為了防止組織外的第三方人員非法進入組織的辦公區(qū)域，獲得組織的技術(shù)秘密，除了物理控制外，還需要組織所有員工參與，加強控制。此外，還需要供應(yīng)商、客戶或股東的參與，以及組織以外的專家建議。

信息系統(tǒng)和信息網(wǎng)絡(luò)是支持信息的重要商業(yè)資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資本流動、效益、法律符合性和商業(yè)形象至關(guān)重要。

目前，越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著計算機的安全威脅，包括計算機欺詐、間諜、故意破壞、火災(zāi)和洪水，如計算機病毒、計算機入侵和DoS攻擊。組織對信息系統(tǒng)和信息服務(wù)的依賴意味著更容易受到安全威脅的破壞。公共和私人網(wǎng)絡(luò)的互聯(lián)和信息資源的共享增加了訪問控制的難度。

很多信息系統(tǒng)本身并不是按照安全系統(tǒng)的要求來設(shè)計的，所以僅僅依靠技術(shù)手段來實現(xiàn)信息安全有其局限性，因此信息安全的實現(xiàn)必須得到管理和程序控制的適當支持。確定應(yīng)該采取哪些控制方法需要精心規(guī)劃和注意細節(jié)。信息安全管理至少需要組織中所有員工的參與，也需要供應(yīng)商、客戶或股東的參與和信息安全專家的建議。