多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。
对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便宜。
4、如何制定安全需求识别出一个机构的安全需求是很重要的。安全需求有三个主要来源。
1
f第一个来源是对机构面临的风险的评估。经过评估风险后，便可以找出对机构资产安全的威胁，对漏洞及其出现的可能性以及造成多大损失有个估计。
第二个来源是机构与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文的要求。
第三个来源是机构为业务正常运作所特别制定的原则、目标及信息处理的规定。
P8内容比对信息系统安全与杜会责任信息系统安全与杜会责任信息系http2116717769jpkcuserfilesjsjs
haowa
gluoketa
g10101pdf
保密性是指保证信息只让合法用户访问信息不泄露给非授权的个人和实体信息的保密性可以具有不同的保密程度或层次所有人员都可以访问的信息为公开信息需要限制访问的信息一般为敏感信息敏感信息又可以根据信息的重要性及保密要求分为不同的密级例如国家根据秘密泄露对国家经济安全利益产生的影响将国家秘密分为