Yetki ve erişim: Kurumlarda “bilmesi gerektiği kadar, erişmesi gerektiği kadar” gibi ilkelerin benimsenmesi gerekmektedir. Bu tip ilkelere en öncelikle uyması gereken gruplar yöneticiler ve bilişimcilerdir. Fakat bu tip ilkelerin en az uygulandığı ve en riskli eylemlerin gerçekleştiği birimler de bu iki grupta çalışanlardır. Bilgilerin depolanması: Özel sektörde, kamu kurumlarında ya da bireysel çalışmalarda en önemli sorunlardan biri; ticari sırların USB bellek, DVD, CD, taşınabilir disk, avuç içi ya da dizüstü bilgisayarlarda yani çok kolay çalınabilecek, kaybolabilecek aygıtlarda, koruma önlemi alınmadan taşınması ve kullanılmasıdır. Bilgi hırsızlığı ve sanayi casusluğu: Kurum içinden bilgi güvenliğine zarar veren saldırılar ya da kasıtsız eylemler; dışarıdan yapılanlara göre daha fazla risklere, kayıplara neden olmaktadır.  Bilgi güvenliğinin bir süreç olması: Bilgi güvenliği, başlanıp bitirilecek bir çalışma değildir. Bilgi güvenliği yönetimi, kurumlar ve bilgiler var olduğu sürece sürekli yönetilmesi ve denetlenmesi gereken bir yaşam döngüsüdür.Bilgi güvenliği için doğru çözümün bulunması: Kamu ya da özel sektörde bilgi güvenliğinde yaşanan sorunların çözümü, genelde bilişimci personelden beklenmekte ve kurumun sadece teknolojik yatırımlarıyla sorunları çözümleyeceği yanılgısı sıklıkla yaşanmaktadır. Fakat bilgi güvenliği ile ilgili risklerin ve sorunların çözümü sadece teknolojik olmayabilir. Bilgi güvenliği yönetiminde, insan ve sürecin hemen her aşamada teknolojiyle birlikte düşünülmesi gerektiği unutulmamalıdır.