當信息安全問題開始出現(xiàn)的初期，人們解決信息安全問題的主要途徑就是安裝和使用信息安全產(chǎn)品，如加密機、防火墻、入侵檢測設備等。信息安全技術和產(chǎn)品的應用，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產(chǎn)品，仍然無法避免一些信息安全事件的發(fā)生。與組織中個人有關的信息安全問題、信息安全成本和效益的平衡、信息安全目標、業(yè)務連續(xù)性、信息安全相關法規(guī)符合性等，這些問題與信息安全的要求都密切相關，而僅僅通過產(chǎn)品和技術是無法解決的。 例如,與企業(yè)員工相關的信息安全問題、信息安全和效益的平衡問題、信息安全目標、業(yè)務連續(xù)性、信息安全法規(guī)遵從等問題,只靠產(chǎn)品和技術是解決不了的。有效解決信息安全問題,還要靠“三分技術、七分管理”。 ISO國際標準化組織近10年來針對信息安全和信息安全管理體系（ＩＳＭＳ）先后發(fā)布了一系列的國際標準，下面列出其中的一部分：