“911”事件中，当Morgan Stanley 集团和American Express等公司能在世贸中心遭受攻击后数小时内迅速恢复服务时，没有人完全怀疑灾难恢复计划的重要性；中国“SARS”肆虐时，成功实施业务持续性计划的亚信、摩托罗拉中国、台湾惠普等公司使人们看到面对这样的重大灾害时，企业怎样才能避免束手无策。
安全计划只有在安全事例发生后，才能证明其价值，然而只有在安全事件发生前，取得企业决策者们的支持才更有意义。这就需要安全主管与企业决策者们进行有效的沟通，不要企图用高深的技术数据说服高层管理者们，这样往往适得其反，安全主管与决策者们的最佳沟通方式就是投资回报计划，安全主管应当为安全预算做出一份有说服力的投资回报计划，来获得决策者们的理解与支持。

信息安全的投资回报计划就是要研究信息安全的成本效益，其成本效益组成如下：

• 从系统生命周期看信息安全的成本：获取成本和运行成本
• 从安全防护手段看信息安全的成本：技术成本和管理成本
• 信息安全的价值效益：减少信息安全事故的经济损失
• 信息安全的非价值效益：增加声誉、提升品牌价值

对于一个组织来说，比较切实可行的第一步的是建立信息安全管理框架。如果没有一个完整的管理框架和有效的过程来保证组织中的人员能理解他们的安全责任与义务，并建立基本的有效的控制措施，那么再好的安全技术也不能保证组织的信息安全。试想：有什么样的先进技术能防止员工的有意泄漏和故意破坏？没有高层管理人员的承诺和明确的安全方针，信息安全是只能是空中楼阁。

按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》，可以帮助在组织中建立一个初步的、易于实施和维护的管理框架，在框架内通过安全管理标准，提供组织在信息安全管理的各环节上一个最佳的实践指导。建立框架后，再通过种细粒度的安全措施－“技术防火墙”和“人力防火墙”，就有可能建立起完备信息安全管理体系。

BS7799－1已于2000年12月被国际标准化组织采纳，成为ISO17799，我国也即将采用成为CNS17799，因此在国内组织采纳BS7799－1是适宜的。BS 7799－1包含100多个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这100多个控制措施被分成10个方面，成为组织实施信息安全管理的实用指南，这十个方面分别是：方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合。

BS 7799 －2 是一个体系规范，可以使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系，包括以下几个主要步骤：

• 建立信息管理框架：设立方向、信息安全目标，定义信息安全方针，同时管理层应承诺该方针。
• · 评审组织的信息安全风险，投资控制措施需要在信息的价值、所面临的风险和这些风险对组织运营的影响间保持一个平衡。
• · 选择和实施控制措施，是确定的安全风险减少到可接受的程度。不同的组织将选择不同的控制措施。