像其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统和网络的安全的OECD指南)。信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。信息安全是保护信息免受各种威胁的损害，以确保业务连续性，业务风险最小化，投资回报和商业机遇最大化。信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。　组织识别出其安全要求是非常重要的，安全要求有三个主要来源：

　　1、一个来源是在考虑组织整体业务战略和目标的情况下，评估该组织的风险所获得的。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。

　　2、另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境。

　　3、第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。

　　了解更多关于企业管理方面的知识，访问上海企业管理培训学校