Chúng ta không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng đề phòng mọi khả năng xấu với các phương thức thích hợp và chuẩn bị xử lý các sự cố nếu có việc lạm dụng xảy ra.

Các tổ chức cần hướng đến việc đảm bảo an toàn thông tin có mục đích, nghĩa là phải tổ chức việc xử lý, ghi nhớ và trao đổi thông tin sao cho tính bảo mật, toàn vẹn, sẵn sàng và đáng tin cậy của dữ liệu được bảo đảm ở mức độ đầy đủ.

Trên thực tế, rò rỉ thông tin mật, dữ liệu thẻ tín dụng bị đánh cắp, website bị hacker tấn công, hệ thống máy tính bị virus phá hoại, ăn cắp thông tin… luôn là những nguy cơ hiển hiện với bất kỳ tổ chức nào dù đó là cơ quan nhà nước hay doanh nghiệp. Nếu như thông tin được coi là tài sản (bên cạnh các loại tài sản khác là nhân lực, cơ sở vật chất, tài chính) của tổ chức thì việc bảo vệ an toàn an ninh thông tin cũng quan trọng không kém việc bảo vệ các loại tài sản khác. Bởi vì dữ liệu thông tin không nằm một chỗ mà luôn lưu chuyển. Do vậy mà nguy cơ để lộ thông tin, thông tin bị rò rỉ, bị chỉnh sửa, bị lấy cắp… luôn luôn hiện hữu. Từ trước đến nay, nhiều tổ chức quan niệm chỉ cần trang bị các giải pháp công nghệ như mật khẩu, tường lửa, phần mềm diệt virus, chữ ký điện tử… là đã có thể đảm bảo an toàn cho hệ thống thông tin của mình rồi. Tuy vậy, những giải pháp công nghệ chỉ mang tính chất đối phó “thuần công nghệ”, còn những gì “phi công nghệ” thì giải pháp công nghệ không thể đảm bảo một cách triệt để được.

Ví dụ thông tin về tổ chức nhân sự mới trong tổ chức chẳng hạn, các giải pháp công nghệ chỉ đảm bảo được thông tin này được bảo mật trên hệ thống máy tính, chỉ có người được quyền thì mới có thể truy cập dữ liệu này để xem. Giải pháp công nghệ cũng dễ dàng đảm bảo được dữ liệu đó không thể bị sao chép hay in ra giấy… Nhưng giải pháp công nghệ không thể ngăn chặn việc những người có trách nhiệm với thông tin mật này tiết lộ ra ngoài.

Vấn đề đặt ra ở đây là phải kết hợp các giải pháp công nghệ và các giải pháp phi công nghệ thì mới đảm bảo được an toàn thông tin một cách tuyệt đối. Các giải pháp phi công nghệ này chính là các chính sách, các quy định quản lý, các hướng dẫn đảm bảo an toàn thông tin một cách toàn diện gắn với các đối tượng, các quy trình nghiệp vụ… trong toàn bộ tổ chức. Như các chính sách quản lý tài sản, quản lý nhân lực, quản lý bảo mật ở mức vật lý, quản lý vận hành và trao đổi thông tin, quản lý truy cập…

Trong số các nguy cơ ảnh hưởng đến an toàn an ninh thông tin thì con người được xem là có nguy cơ cao nhất và phức tạp nhất. Do vậy mà việc xây dựng các chính sách, quy định quản lý đội ngũ nhân viên trong tổ chức và hướng dẫn họ tuân thủ các quy định về an toàn bảo mật thông tin là rất quan trọng (như quy định về trách nhiệm với thông tin mật quy định về cấm sao chép dữ liệu quan trọng đưa ra ngoài, qua định về cài đặt phần mềm, truy cập hệ thống thông tin…).

Trong quá trình xây dựng các chính sách, quy định an toàn thông tin, khâu quan trọng trước tiên đó là khâu xác định những thông tin nào là tài sản quan trọng của tổ chức, nghĩa là phải  xác định mục tiêu thông tin cần bảo vệ một cách rõ ràng. Khâu quan trọng thứ hai đó là khâu xác định những rủi ro đối với hệ thống thông tin của tổ chức, từ đó đưa ra các giải pháp phòng chống.

Trong quá trình triển khai các giải pháp đảm bảo an toàn thông tin một cách toàn diện này (bao gồm chính sách bảo mật toàn diện cả về con người, quy trình và biện pháp kỹ thuật công nghệ), điều tối quan trọng là cần có sự tham gia chỉ đạo của người đứng đầu tổ chức và sự ủng hộ, tham gia của toàn thể các bộ phận trong tổ chức. Bởi đảm bảo hệ thống thông tin không chỉ nằm ở biện pháp kỹ thuận mà liên quan chặt chẽ đến các bộ phận nghiệp vụ, bộ phận hành chính. Nếu không có sự tham gia và chỉ đạo của người đứng đầu thì rất khó để thuyết phục các bộ phận khác tham gia và chấp hành  (theo eFinance)