Выборе условий, при которых может возникнуть необходимость защиты информации.
Постановке глобальных качественных целей и параметров деятельности, которые организация должна достичь в будущем.
Рациональном обеспечении требуемой защиты в любых условиях.
Устранение причин, а не следствий существующей проблемы.