许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律要求，或者被认为是信息安全的常用惯例。从法律的观点看，根据适用的法律，对某个组织重要的控制措施包括：

　　a)数据保护和个人信息的隐私;

　　b)保护组织的记录;

　　c)知识产权。

　　被认为是信息安全的常用惯例的控制措施包括：

　　a)信息安全方针文件;

　　b)信息安全职责的分配;

　　c)信息安全意识、教育和培训;

　　d)应用中的正确处理;

　　e)技术脆弱性管理;

　　f)业务连续性管理;

　　g)信息安全事故和改进管理。

　　这些控制措施适用于大多数组织和环境。应注意，虽然《信息安全管理实用规则》中的所有控制措施都是重要的并且是应被考虑的，但是应根据某个组织所面临的特定风险来确定任何一种控制措施是否是合适的。因此，虽然上述方法被认为是一种良好的起点，但它并不能取代基于风险评估而选择的控制措施。

　　了解更多关于企业管理方面的知识，访问上海企业管理培训学校