當今的全球市場，技術支持著企業運行。從會議室到郵件收發室，所有人都通過信息技術(IT)從事商業交易、貨物運送、客戶賬戶追蹤、公司資產結算。信息技術是存儲和傳播信息的載體，而信息是公司最有價值的資源，信息技術把信息從一個業務單位傳遞到另外一個業務單位。如果這個載體受到損壞，哪怕是一小會兒，那將會發生什么呢？買賣失敗、貨物丟失，并且公司資產從內到外將更易受到威脅。

以往，企業經理們對這種可能的威脅的反應是宣稱我們有專業人員來處理技術問題。當技術被限制在數據中心控制室并且對信息進行集中處理時，這樣的宣稱可能是有效的。但在過去20年中，技術已經滲透到商業環節的每個方面。 商業活動隨著工作人員在辦公室或城市間移動。由于業務更具流動性，所以計算機安全觀念也就被信息安全觀念所取代。因為這種觀念涵蓋了從數據保護到人力資源保護等更多領域的問題，信息安全不再是公司一小部分人的責任，而是公司每一位員工，特別是管理階層的責任。

高瞻遠矚的企業經理們越來越認識到信息安全的至關重要性。由于這種意識的增強，企業中出現了一種新的職位來處理這些新近認識到的問題。像Iris這些技術主管的出現使得專職從事信息安全管理的團隊應運而生，他們的主要職責是保護信息資產的安全。

各個機構必須意識到為信息安全提供資金和計劃決策不僅僅只涉及到技術主管，例如信息安全主管或者信息安全小組的成員。事實上，這個過程應該包括3 個不同的決策群，或個利益團體( communities of interest)

信息安全管理者和專業人員

信息技術管理者和專業人員

非技術的業務管理者和專業人員

通過富有建設性的商討，個團體應在保護組織機構信息資產的總體計劃上達成共識。

這些利益團體應履行以下角色：

信息安全團體保護組織機構信息資產免受外來威脅。

信息技術團體通過提供適合于業務需要的技術來支持組織機構的經營目標。 

非技術普通業務團體負責傳播組織機構的策略和目標，并把資源分配給其他兩個團體。

這些團體分工協作，共同制定決策來確定如何有效保護組織機構的資源。

正如IrisCharley之間談論的那樣，成功地管理一個信息安全項目需要時間、資源和大量的工作。組織機構內的個團體必須都要認識到信息安全所牽涉的工作是識別、度量和減輕運作信息資產所面臨的風險，或最低限度要記錄這些風險。