信息是一种资产，就像其它重要的企业资产依样，对组织具有价值，因此需要受到适当的保护。

　　信息的类型

　　书写或打印于纸上

　　储存在电子媒体上

　　以邮寄或电子储存媒体传输

　　显示于企业影片上

　　言语-在对话中提出

　　不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。

　　信息安全

　　保护信息的机密性、完整性与可用性；另外，亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。

　　机密性(Confidentiality)

　　信息不可被未经授权之个人、实体、流程所取得或揭露之特性。

　　完整性(Integrity)

　　保护资产准确性和完整性之特性。

　　可用性(Avaliability)

　　基于需要可由授权者存取及使用之特性。

　　关键的成功因素(Critical success factors) 经验显示，组织的信息安全能否成功实施，下列常为关键因素：

　　能反映营运目标的信息安全政策、目标及活动。

　　与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。

　　来自所有管理阶层的实际支持和承诺。

　　对信息安全要求、风险评鉴以及风险管理的深入了解。

　　向全体管理人员、受员、及相关人员有效推广信息安全以达到认知。

　　资助信息安全管理活动。

　　提供适切的认知、训练及教育。

　　制定有效的信息安全事故管理过程。

　　实施ㄧ个用于评估ISMS的绩效及改进的回馈建议之量测系统。