IT風險治理的意義，就在于通過人為的努力干預并可能把風險控制在可接受范圍內(nèi)，同時使其價值最大化。

無論是生態(tài)系統(tǒng)還是企業(yè)組織，都是盤根錯節(jié)的。各種相關的因素互相交叉，既互相促進又互相克制。不管是基于哪一級的人，要想改變都會引起牽一發(fā)而動全身的劇烈動蕩，處理不好，不但達不到目的，反而會使系統(tǒng)不穩(wěn)定性瞬時加大，危及系統(tǒng)和個人。

企業(yè)的本質(zhì)是利益相關者的契約集合體，利益相關者是所有那些在公司真正有某種形式的投資并且處于風險之中的人，包括股東、經(jīng)營者、員工、債權(quán)人、顧客、供應商、競爭者、國家。由于契約的不完備性，使得利益相關者共同擁有企業(yè)的剩余索取權(quán)和剩余控制權(quán)，進而共同擁有企業(yè)的所有權(quán)。對所有權(quán)的擁有是利益相關者參與公司治理的基礎，也是利益相關者權(quán)益得到應有保護的理論依據(jù)。

這些互相交叉又互相克制的利益相關者和資源構(gòu)筑成了系統(tǒng)，是系統(tǒng)存在的主要組成部分。當然，它也不全是不利的，在于你有沒有能力去駕馭它。用得好，它就為你添磚加瓦，用得不好就會被它困住了。一切取決于你。

——《IT風險治理：系統(tǒng)擴張與穩(wěn)定的對抗》

在當今全球一體化的商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛應用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運作業(yè)務的風險、收益和機會，使得信息安全管理成為企業(yè)管理越來越關鍵的一部分。管理高層需要確保信息技術(shù)適應企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當利用信息技術(shù)。

信息安全已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡單的設備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列威脅，保障商務的連續(xù)性，最大限度地減少業(yè)務的損失，從而最大限度地獲取投資和商務的回報。

信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個部門的實際情況，分別制定不同的信息安全策略。例如，規(guī)模較小的組織單位可能只需一個信息安全策略，并適用于組織內(nèi)所有部門、員工；而規(guī)模大的集團組織則需要制定一組信息安全策略文件，分別適用于不同的子公司或者分支機構(gòu)。

信息安全策略應該簡單明了、通俗易懂，并形成書面文件，發(fā)給組織內(nèi)所有成員。同時要對所有相關員工進行信息安全策略的培訓，對信息安全負有特殊責任的人員要進行特殊培訓，以使信息安全方針真正根植于組織內(nèi)所有員工的腦海并落實到實際工作中。

——《IT治理信息安全管理》

1．明確信息化建設的戰(zhàn)略需求——業(yè)務戰(zhàn)略需求和合法合規(guī)需求；2．構(gòu)建和完善IT治理機制，提高信息技術(shù)的經(jīng)營管理績效；3．健全和完善激勵機制，加強IT人才隊伍建設；4明確信息化建設企業(yè)架構(gòu)、戰(zhàn)略規(guī)劃和戰(zhàn)略重點，加強lT戰(zhàn)略管理，確保信息化建設的高效、可持續(xù)發(fā)展；5．加強信息技術(shù)成本管理，提高信息技術(shù)投資價值；6．加強IT風險治理，創(chuàng)造新的戰(zhàn)略競爭機遇。

——《2006—2020年國家信息化發(fā)展戰(zhàn)略》