长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响，国内公众对安全的认识被广泛误导。有相当一部分人认为黑客和病毒就已经涵盖了信息安全的一切威胁，似乎信息安全工作就是完全在与黑客与病毒打交道，全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了不良影响。

目前，各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准，这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息安全的各个角度和整个生命周期来考察，现有的信息安全管理体系与标准是不够完备的，特别是忽略了组织中最活跃的因素――人的作用。考察国内外的各种信息安全事件，我们不难发现，在信息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。

因此，组织为达到保护信息资产的目的，应在“以人为本”的基础上，充分利用现有的ISO13335、BS7799、CoBIT、ITIL等信息系统管理服务标准与最佳实践，制定出周密的、系统的、适合组织自身需求的信息安全管理体系。

二、HTP模型
信息安全的建设是一个系统工程，它需求对信息系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看，我们认为信息安全可以由以下HTP模型来描述：人员与管理(Human and management)、技术与产品(Technology and products)、流程与体系(Process and Framework)。

信息安全不是一个孤立静止的概念，信息安全是一个多层面、多因素的、综合的、动态的过程。一方面，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短木块”，从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基本上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性；另一方面，这个安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变。因此实现信息安全是一个需要一个完整的体系来保证的持续过程。

根据国内信息安全建设的现状与特点并结合信息安全国际标准、行业标准以及通用最佳实践，并考虑实用性与易用性，我们提出以下实现信息的方法论及具体步骤。

信息安全的方法论：根据自顶向下，逐步求精的原则，根据组织的业务目标与安全要求，在风险评估的基础上，先建立并运行信息安全框架，初步达到粗粒度的信息安全；在完整的信息安全框架之上，建立“人力防火墙”与“技术防火墙”,在细粒度上的保证信息安全；实施阶段性的信息系统审计，在持续不断的改进过程中保证信息的安全性、完整性、可用性，从而建立一套完整的信息安全管理体系。