2)可遵循的資產保護

我們要保護什么？這是很多商業機構經常會提出的問題。我們有什么？我們用他來做什么？我們需要保護他們嗎？這些非常通俗的提問對于每一個管理者而言卻很難得到一個準確的答案。適度保護以實現可衡量的經濟價值，在商業信息化保護中形成了一個矛盾。沒有絕對的安全，但是，在安全事件降臨時，我們優先保護什么？我們所保護的資產是組織的核心資產嗎？在一個合理的成本情況下，我們需要放棄什么？成為考核一個組織應對業務連續性管理時的一個首要問題。

3)合規性

可以把合規性理解為兩個層面的問題：法律法規的合規，如知識產權侵犯，符合法律的網絡監控行為和數據出口行為；另一個層面是標準的合規性，如第三方支付卡業務所需要的PCI-DSS；政府、國企所需要的信息安全等級保護等等標準規范文件。商業組織的運行離不開合規性的保護和約束，所以商業組織必須選擇適合自己的合規性規約，才能低成本高質量的產品。

監管合規性描述了組織在努力確保他們意識到并采取措施遵守相關法律，政策和法規，同時明確希望實現的目標。由于法規的數量和對業務透明度的需求越來越多，各組織越來越多地采用統一和協調的合規控制系統。這種方法用于確保滿足所有必要的治理要求，而不會造成不必要的重復工作和資源活動。

國際標準化組織( ISO)生產國際標準，國際電工委員會(International Electrotec,hnical Commission，IEC)在電工技術領域制定國際標準，如ISO／IEC 27002。一些本地或國際專業組織，如美國機械工程師協會（AmericanSociety of Mechanic,al Engineers，ASME）也制定標準和法規代碼。因此，它們提供了廣泛的規則和指令，以確保產品符合安全，安全或設計標準。還有一些適用于不同領域的其他法規，如PCI-DSS，GLBA，FISMA，聯合委員會和HIPAA。在某些情況下，其他合格性框架（如COBIT）或標準(NIST)指導組織如何遵守這些規定。