มีทั้งหมด 6 ปัจจัยนะครับที่เราต้องคำนึงถึง หากต้องการใช้ระบบการเตรียมการ,วางแผนเพื่อปกป้องสารสนเทศ (ISMS)

1. ความช่วยเหลือและการสนับสนุน คือเราต้องทราบว่าความช่วยเหลือและแรงผลักดันของผู้ใหญ่ในองค์กรสำหรับการบริหารจัดการความปลอดภัยข้อมูล โดยเฉพาะการเริ่มต้นใช้งาน ISMS ของเรานั้นดีแค่ไหน

2. โครงสร้างการตัดสินใจ จุดประสงค์ของกิจกรรมความปลอดภัยก็เพื่อรักษาระเบียบวินัยของการตัดสินใจที่เกี่ยวข้องกับการดำเนินการใดๆที่เกี่ยวข้องกับระบบ อย่างเช่น การควบคุมของผู้ดูแลระบบความปลอดภัย

3. วิเคราะห์ความต่าง วิเคราะห์ความแตกต่างระหว่างมาตรฐานความปลอดภัยกับความปลอดภัยภายในองค์กร ณ ปัจจุบัน โดยวัดเป็นข้อๆ

4. Business Impact Analysis (BIA) BIA เป็นหนึ่งในเครื่องมือที่ใช้วัดผลกระทบที่เป็นไปได้หากองค์กรต้องเผชิญกับเหตุการณ์ใดเหตุการณ์หนึ่ง โดยแบ่งจุดประสงค์ออกเป็น 2 จุดประสงค์คือ

4.1. ระบุกระบวนการทำงานขั้นพื้นฐานขององค์กรและจัดลำดับความสำคัญ

4.2. จัดอันดับผลกระทบที่จะเกิดขึ้นของแต่ละกระบวนการ

5. ต้นทุน: เงิน เวลา และบุคลากร

เมื่อวิเคราะห์ความแตกต่างระหว่างเป้าหมายและความเป็นจริง ณ ปัจจุบันแล้วต่อมาก็คงหนีไม่พ้นการดำเนินการ ซึ่งจะต้องมีสิ่งที่เรียกว่าต้นทุน ที่ประกอบไปด้วยเงิน เวลา และบุคลากร

6. วิเคราะห์มมาตรฐานความปลอดภัย

มาตรฐานของความปลอดภัยพื้นฐานก่อน ISMS ก็คือ ISO/IEC 27001 ที่มีมาตรฐานมาจาก ISO/IEC 27000 ซึ่งเพียงพอที่จะทำให้เราเข้าใจเกี่ยวกับการดำเนินการ ISMS ได้