首先，安全的根本目的是保證組織業(yè)務(wù)可持續(xù)性運(yùn)行，保證利益相關(guān)者生命、財(cái)產(chǎn)安全的延續(xù)。構(gòu)成業(yè)務(wù)可持續(xù)性問(wèn)題的不僅僅是信息技術(shù)，還包括與業(yè)務(wù)相關(guān)聯(lián)的生產(chǎn)、財(cái)務(wù)、 人力資源、行政以及供應(yīng)鏈等一系列的問(wèn)題。在傳統(tǒng)的意識(shí)中，不同的環(huán)節(jié)關(guān)注不同的元素，每個(gè)控制都只考慮本領(lǐng)域的控制問(wèn)題，這使得安全本身被劃分在不同的領(lǐng)域，如：生產(chǎn)安全、財(cái)務(wù)安全、人員安全等，但其本質(zhì)是相同的。安全應(yīng)該被相互融合以構(gòu)成立體化的安全保障。

其次，信息安全應(yīng)該建立在整個(gè)生命周期中所關(guān)聯(lián)的人、事、物的基礎(chǔ)上，綜合考慮人、技術(shù)、管理和過(guò)程控制，使得信息安全不是一個(gè)局部而是一個(gè)整體。隨著信息安全事件的泛濫和擴(kuò)大，組織越來(lái)越意識(shí)到信息安全問(wèn)題不僅僅是在某個(gè)階段的問(wèn)題，更不是純粹的技術(shù)問(wèn)題。歷史事件表明，單純地從某個(gè)層次考慮安全問(wèn)題往往會(huì)帶來(lái)致命的損害。

第三，安全要考慮成本因素。財(cái)務(wù)成本是信息安全必須要考慮的問(wèn)題，正如我們不會(huì)用價(jià)值數(shù)十萬(wàn)的保險(xiǎn)箱去保管面值10元的貨幣一樣。安全的成本該如何考核呢？首要的問(wèn)題應(yīng)該是作為安全管理人員，必須清晰地了解組織的資產(chǎn)財(cái)務(wù)成本、價(jià)值以及組織利用信息技術(shù)帶來(lái)的收益情況。隨著互聯(lián)網(wǎng)的普及和發(fā)展，信息技術(shù)已經(jīng)開(kāi)始為組織帶來(lái)直接的經(jīng)濟(jì)收益，例如騰訊、百度、阿里等互聯(lián)網(wǎng)公司，以及更多的依托互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的P2P、020、 02B、移動(dòng)互聯(lián)網(wǎng)等產(chǎn)業(yè)也迅速發(fā)展起來(lái)。保護(hù)的成本必須和保護(hù)的資產(chǎn)價(jià)值形成有效的比率，這是財(cái)務(wù)風(fēng)險(xiǎn)中至關(guān)重要的一個(gè)環(huán)節(jié)。

第四，隨著對(duì)信息化的依賴(lài)，信息系統(tǒng)所維系的不僅僅是業(yè)務(wù)的支撐和輔助，而是業(yè)務(wù)的命脈。WEB2.0和互聯(lián)網(wǎng)+的深入落實(shí)，整個(gè)業(yè)務(wù)被緊緊綁在信息系統(tǒng)之上，沒(méi)有信息安全也就沒(méi)有業(yè)務(wù)安全，業(yè)務(wù)流程本身的缺陷會(huì)直接導(dǎo)致信息安全問(wèn)題的產(chǎn)生，而大量的業(yè)務(wù)繞行也為未授權(quán)的內(nèi)部人員以及惡意外部人員所利用，因此，信息安全的管理者和操作者在實(shí)現(xiàn)安全的控制前提下，必須了解業(yè)務(wù)及流程，保障其最終所應(yīng)該實(shí)現(xiàn)的業(yè)務(wù)安全。