(3) توازن الحاجة للأمن وعدم الرضى عن الوضع القائم: كما سبق ذكره، لا يوجد في عالم اليوم شئ كامل ومتقن كلية. ويعتبر ذلك صحيحا وحقيقيا فيما يتصل بالمعلومات والممتلكات والأنفس. ويتضمن كل إجراء أمن مضاف عملية أو نشاط إضافي موجه لمستخدمين نهائيين. وكلما تضاف هذه الإجراءات فقد تصبح، في نفس الوقت، معوقات يجب التغلب عليها بواسطة كل مستخدم نهائي، بغض النظر عن تذكره لكلمات مرور عديدة وما شابه ذلك من إجراءات أمنية. ونتيجة لذلك، يزداد تحميل مدير أو إداري النظام بأعباء جديدة عليه استيعابها وتنفيذها.

عند التعرض للإبعاد المختلفة لأمن المعلومات، بمكن استقرائها من تحليل معايير أمن المعلومات وخاصة ما أصدرته المنظمة الدولية للتوحيد القياسي ISO من معيار ISO 177799 الصادر عام 1999 المبني علي معيار معهد المعايرة البريطاني BS 7799 الصادر عام 1995 ويعتبر كأساس نظام إدارة أمن المعلومات. ويمكن أن يلاحظ أن هذا المعيار يتسم بالتالي:

-عدم ذكر ضرورة وجود حائط نيران Firewall بدلا من ذلك يبين التحفظات المطلوبة لمنع دخول برمجيات مصابة ومعدية Malicious واكتشافها بسرعة.

-التمييز بين النظم المختلفة وعدم وجود نظام واحد يطبق في كل المنظمات، لذلك يصبح من الضروري أن تعرف كل منظمة علي متطلبات الأمن الخاصة بنظم معلوماتها.

من هذا المنطلق، يمكن تحديد الأبعاد والمكونات التالية لأمن المعلومات:

(1) سياسة الأمن: الغرض من سياسة أمن المعلومات يتصل بتقديم توجيه مناسب ومساندة إدارية لأمن المعلومات والتوصية بما يلي:

-إنشاء منتدى لأمن المعلومات علي مستوي الإدارة العليا في المنظمة؛

-تقديم حملات وبرامج للتوعية والتدريب علي أمن المعلومات؛

-إدارة المخاطرة كمدخل من مداخل العملية الإدارية في المنظمة؛

-التوافق مع القوانين والتشريعات الملائمة.

وعلي هذا الأساس، فإن أي وثيقة أو تقرير سياسة أمن المعلومات يجب أن تتضمن التالي:

-حاجة المنظمة لخطة طوارئ؛

-الحاجة لمساندة حفظ البيانات والمعلومات بفعالية وكفاءة؛

-تجنب البرمجيات المصابة؛

-توفير إجراءات رقابة علي الوصول لنظم المعلومات وبياناتها؛

-تقرير الأحداث التي تتعرض لها المنظمة فيما يخص أمن معلوماتها؛