要实现信息安全长期善治，组织管理层必须先明确自己的目标和范围，包括业务范围、行政范围和物理范围，并且制定整体蓝图，以便让以后每个阶段和每个具体的实施活动都能够朝着正确的方向前进，并且能够随时检验阶段及最终成果是否符合预期。

      根据咨询公司咨询长期经验的积累和研究总结，我们认为，组织在信息安全体系的建设方面，应该遵循下图所示的蓝图。
                              
      ◆  目标Objective：蓝图中首先明确的是信息安全建设的核心目标，即实现信息安全的CIA并最终确保业务的可持续性， 并在可接受风险与资本投入中找到平衡点。

      ◆  对象Object：信息安全必须有明确的保护对象，即信息资产，包括各种关键数据、应用系统、实物资产、设施和环境，以及人员。信息资产的明确界定，将使信息安全控制的实施有引而发。而对这些资产的保护，将直接关系到业务持续性这一最终目标的实现与否。

      ◆  规范Document：为了实现核心目标，我们还必须明确信息安全方面的现实需求，并且用确定的、无矛盾的、可实施的一套方针、标准、指南、程序和规范要求来体现，这些层次化的文件将为所有信息安全活动提供指导，最终导入信息安全需求的实现。其实，信息安全管理体系是一个文件化的体系，文件所约定的各项管理要求和操作规范，能够体现信息安全目标实现的持久、统一和权威性，也是ISMS的具体表现形式。

◆     过程Process：为了对信息资产实施保护，我们必须采取一定措施，经历一番努力和过程，最终才能实现既定目标。信息安全的建设过程，表现为一系列流程的实现，最终体现出的是所谓PDCA的过程模型：信息安全先做规划，明确需求，制定应对方案；实施解决方案；通过检查，巩固成果，发现不足；采取后续措施，改进不足，推动信息安全持续进步。