首先，安全的根本目的是保證組織業務可持續性運行，保證利益相關者生命、財產安全的延續。構成業務可持續性問題的不僅僅是信息技術，還包括與業務相關聯的生產、財務、 人力資源、行政以及供應鏈等一系列的問題。在傳統的意識中，不同的環節關注不同的元素，每個控制都只考慮本領域的控制問題，這使得安全本身被劃分在不同的領域，如：生產安全、財務安全、人員安全等，但其本質是相同的。安全應該被相互融合以構成立體化的安全保障。

其次，信息安全應該建立在整個生命周期中所關聯的人、事、物的基礎上，綜合考慮人、技術、管理和過程控制，使得信息安全不是一個局部而是一個整體。隨著信息安全事件的泛濫和擴大，組織越來越意識到信息安全問題不僅僅是在某個階段的問題，更不是純粹的技術問題。歷史事件表明，單純地從某個層次考慮安全問題往往會帶來致命的損害。

第三，安全要考慮成本因素。財務成本是信息安全必須要考慮的問題，正如我們不會用價值數十萬的保險箱去保管面值10元的貨幣一樣。安全的成本該如何考核呢？首要的問題應該是作為安全管理人員，必須清晰地了解組織的資產財務成本、價值以及組織利用信息技術帶來的收益情況。隨著互聯網的普及和發展，信息技術已經開始為組織帶來直接的經濟收益，例如騰訊、百度、阿里等互聯網公司，以及更多的依托互聯網產業發展的P2P、020、 02B、移動互聯網等產業也迅速發展起來。保護的成本必須和保護的資產價值形成有效的比率，這是財務風險中至關重要的一個環節。

第四，隨著對信息化的依賴，信息系統所維系的不僅僅是業務的支撐和輔助，而是業務的命脈。WEB2.0和互聯網+的深入落實，整個業務被緊緊綁在信息系統之上，沒有信息安全也就沒有業務安全，業務流程本身的缺陷會直接導致信息安全問題的產生，而大量的業務繞行也為未授權的內部人員以及惡意外部人員所利用，因此，信息安全的管理者和操作者在實現安全的控制前提下，必須了解業務及流程，保障其最終所應該實現的業務安全。