信息安全目标的实现并非一日之功，也不能一蹴而就，必须是一个整体考虑、充分规划、持续运作、长治久安的过程。在整个过程中，组织的最高管理者必须发挥积极的作用。一方面，最高管理者应该为信息安全活动提供资源支持，协调各个方面的关系，更重要的，要想实现信息安全长效目标，最高管理者必须明确信息安全目标和方针，在战略决策上指引正确的方向，在整体规划上确定清晰的蓝图。
    什么事情都是从计划开始的，信息安全也是如此，计划有多种，具体某项事务有短期的实施计划，阶段性任务的完成和目标的实现有赖于中期计划，而根本目标的实现则必须有较长期的战略计划做依托。对组织的高级管理者来说，制定健全而有效的信息安全战略规划，是其必然的责任。
    一般来说，组织在信息安全建设方面都会有较长期（例如2到3年）的整体规划，明确信息安全目标和原则，发掘信息安全需求，落实信息安全组织和责任，做好阶段计划和成果诉求。有了这样的规划作为方向指引，信息安全各项工作就能在有序的状态下逐渐开展了。
    信息安全整体规划最终会落脚在一幅可以预期的蓝图上，这便是组织信息安全整体所呈现出来的架构和模式，如图所示即一个很好的例子。

这副蓝图中有以下几项要素：
    1).目标（Objective）：蓝图中首先明确的是信息安全建设的核心目标，即实现信息安全的CIA 并最终确保业务持续性，这是Info Sec 所代表的含义。
    2).对象（Object）：信息安全必须有明确的保护对象，即信息资产，包括各种关键数据、应用系统、实物资产、设施和环境，以及人员。信息资产的明确界定，将使信息安全控制的实施有引而发。而对这些资产的保护，将直接关系到业务持续性这一最终目标的实现与否。
    3).规范（Document）：为了实现核心目标，我们还必须明确信息安全方面的现实需求，并且用确定的、无矛盾的、可实施的一套方针、标准、指南、程序和规范要求来体现，这些层次化的文件将为所有信息安全活动提供指导，最终导入信息安全需求的实现。其实，信息安全管理体系是一个文件化的体系，文件所约定的各项管理要求和操作规范，能够体现信息安全目标实现的持久、统一和权威性，也是ISMS 的具体表现形式。
    4).过程（Process）：为了对信息资产实施保护，我们必须采取一定措施，经历一番努力和过程，最终才能实现既定目标。信息安全的建设过程，表现为一系列流程的实现，最终体现出的是所谓PDCA 的过程模型：信息安全先做规划，明确需求，制定应对方案；实施解决方案；通过检查，巩固成果，发现不足；采取后续措施，改进不足，推动信息安全持续进步。