2)可遵循的資產(chǎn)保護

我們要保護什么？這是很多商業(yè)機構經(jīng)常會提出的問題。我們有什么？我們用他來做什么？我們需要保護他們嗎？這些非常通俗的提問對于每一個管理者而言卻很難得到一個準確的答案。適度保護以實現(xiàn)可衡量的經(jīng)濟價值，在商業(yè)信息化保護中形成了一個矛盾。沒有絕對的安全，但是，在安全事件降臨時，我們優(yōu)先保護什么？我們所保護的資產(chǎn)是組織的核心資產(chǎn)嗎？在一個合理的成本情況下，我們需要放棄什么？成為考核一個組織應對業(yè)務連續(xù)性管理時的一個首要問題。

3)合規(guī)性

可以把合規(guī)性理解為兩個層面的問題：法律法規(guī)的合規(guī)，如知識產(chǎn)權侵犯，符合法律的網(wǎng)絡監(jiān)控行為和數(shù)據(jù)出口行為；另一個層面是標準的合規(guī)性，如第三方支付卡業(yè)務所需要的PCI-DSS；政府、國企所需要的信息安全等級保護等等標準規(guī)范文件。商業(yè)組織的運行離不開合規(guī)性的保護和約束，所以商業(yè)組織必須選擇適合自己的合規(guī)性規(guī)約，才能低成本高質量的產(chǎn)品。

監(jiān)管合規(guī)性描述了組織在努力確保他們意識到并采取措施遵守相關法律，政策和法規(guī)，同時明確希望實現(xiàn)的目標。由于法規(guī)的數(shù)量和對業(yè)務透明度的需求越來越多，各組織越來越多地采用統(tǒng)一和協(xié)調的合規(guī)控制系統(tǒng)。這種方法用于確保滿足所有必要的治理要求，而不會造成不必要的重復工作和資源活動。

國際標準化組織( ISO)生產(chǎn)國際標準，國際電工委員會(International Electrotec,hnical Commission，IEC)在電工技術領域制定國際標準，如ISO／IEC 27002。一些本地或國際專業(yè)組織，如美國機械工程師協(xié)會（AmericanSociety of Mechanic,al Engineers，ASME）也制定標準和法規(guī)代碼。因此，它們提供了廣泛的規(guī)則和指令，以確保產(chǎn)品符合安全，安全或設計標準。還有一些適用于不同領域的其他法規(guī)，如PCI-DSS，GLBA，F(xiàn)ISMA，聯(lián)合委員會和HIPAA。在某些情況下，其他合格性框架（如COBIT）或標準(NIST)指導組織如何遵守這些規(guī)定。