對于一個組織來說，為了保障企業信息安全。比較切實可行的第一步是建立信息安全管理框架。然后才能逐步建立完善的信息安全管理規范。任何一個企業絕不愿意因小失大。他們只要付出這一點就能換回企業整個信息領域安全。
       按照ISO27000，可以幫助在組織中建立一個初步的、易于實施和維護的管理框架，在框架內通過安全管理標準，提供組織在信息安全管理的各環節上一個最佳的實踐指導。
       在一個組織內實施信息安全的第一步，是根據企業目標及安全方針，建立信息安全指導委員會。委員會要由組織高層領導掛帥，各職能部分相關負責人參加，定期召開會議，對組織內的信息安全問題進行討論并作為決策，目的是為組織的信息安全提供指導與支持。
       信息安全指導委員會的主要職能有：審批信息安全方針、政策，分配信息安全管理職責；確認風險評估，審批信息安全預算計劃及設施的購置；評審與監測信息安全措施的實施及安全事故的處理；對與信息安全管理有關的重大更改事項進行決策，協調信息安全管理隊伍與各部門之間的關系。
其次是建立一支專業、高效的信息安全管理的隊伍，一般由信息安全主管為核心，并由信息安全日常管理、信息安全技術操作兩方面的人員組成。在“911”事件以后，為了加強對安全的統一管理，在美國有一種把安全保衛部門與信息安全部門合并的趨勢，許多大公司設置一個首席安全官（Chief Security Officer）職位，負責包括信息安全在內的所有安全事宜。由于首席安全官在組織的整體安全管理中有著舉足輕重的作用，這就對首席安全官的管理素質、職業技能提出了全新的挑戰。
安全預算計劃
       一般來說，沒有特別的需要，為信息安全的投入不應超過信息化建設總投資額的15%，過高的安全成本將使安全失去意義。
由于網絡技術的發展，網絡攻擊工具唾手可得，再加上組織對信息化的依賴性越來越強，這在某種程度上造成信息安全的信息防御的成本越來越高，而攻擊的成本則越來越低。所以安全預算計劃是一項具有挑戰性的工作，要采用“適度防范”的原則，把有限的資金用在刀刃上。
       在制訂預算計劃時考慮以下幾點：
       首先，不應把部署所有安全產品與技術作為目標，因為某些風險可能并不存在，某些風險組織可以容忍和接受。
       其次，沒有必要去為追求信息安全的零風險，加固所有的安全弱點，這些弱點可能因為成本、知識、文化、法律等方面的因素，沒有人能利用它們。
       第三，沒有必要無限制地提高安全保護措施的強度，只需要將相應的風險降到可接受的程度即可。
       對安全保護措施的選擇還要考慮到成本和技術等因素的限制。
       投資回報計劃，通常人們只是認為信息安全只是花錢的部門，不能產生直接的經濟效益。
       在一個企業內我們經常看到這樣的情景：年終總結會上，銷售經理們在為不斷提高的銷售業績而沾沾自喜、彈冠相慶時，安全主管對自己的最高獎賞只能是向總經理匯報“平安無事”。因此安全預算經常受到質疑，特別是在企業經營狀態不佳時，首先受到壓縮就是信息安全預算，然而企業決策者們往往沒有意識到，過度壓縮的安全預算，往往會使企業蒙受很大的風險。
      安全計劃只有在安全事例發生后，才能證明其價值，然而只有在安全事件發生前，取得企業決策者們的支持才更有意義。這就需要安全主管與企業決策者們進行有效的溝通，不要企圖用高深的技術數據說服高層管理者們。這樣往往適得其反，安全主管與決策者們的最佳溝通方式就是投資回報計劃，安全主管應當為安全預算做出一份有說服力的投資回報計劃，來獲得決策者們的理解與支持。