Organisationen verarbeiten im Rahmen ihrer Tätigkeit Informationen. Die Verfügbarkeit von Informationen und ihre Genauigkeit sind für eine erfolgreiche Tätigkeit immer wichtiger geworden. Gleichzeitig gibt es immer mehr Aktivitäten, die darauf abzielen, Informationen zu erlangen, sei es, um geschäftliche Vorteile zu erzielen, sei es in der Absicht, Schaden anzurichten. Der Schutz von Informationen ist daher für alle Organisationen von grundlegendem Interesse.
Die einzige Möglichkeit, Informationssicherheit zu erreichen, besteht darin, einen umfassenden Schutz anzustreben. Informationen müssen in allen Formaten geschützt werden, auf Papier genauso wie in elektronischer Form. Die gleiche Aufmerksamkeit ist in Bereichen erforderlich, die für die elektronische Informationssicherheit relevant sind: Daten können durch den Schutz der Anwendungen, die sie verarbeiten, der Technologie, mit der die Anwendungen betrieben werden, und der Infrastruktur, die die Technologie betreibt, geschützt werden. Dies nützt jedoch nichts, wenn die Menschen, die die Informationen verarbeiten, Verstöße gegen die Informationssicherheit zulassen - sei es absichtlich oder aus Unwissenheit - oder wenn es möglich ist, die Sicherheit zu umgehen, indem schlecht konzipierte Prozesse und schwache Sicherheitskontrollen ausgenutzt werden.
