筆者看過一些在研究如何將「○○○○」與資訊安全管理系統(ISMS)整合的人員，是透過搜尋「○○○○」的要求裡帶有"security"一詞的實務與常規(practices)語句，然後再將該等集合起來，看看這些與ISO/IEC 27001的要求是否有共通處，是否存在整合的機會。筆者以為，這樣的作法常常會讓研究者本身迷失在研究的課題裡。
　　在許多的文獻裡，或者標準裡，即使其重視資訊安全的議題，很有可能是不會使用到"security(安全性)"這個字，甚至於也不會使用到與資訊安全有關的字眼，例如，"機密性(confidentiality)"、"完整性(integrity)"、以及"可用性(availability)"，或是其他如"可靠性(reliability)"、"不可否認(non-repudiation)"、"可歸責性(accountability)"、"可鑑別性(authenticability)"等等。
　　在將資訊安全管理活動於專案管理過程、產品發展過程、品質管理過程中實作時，我們應該理解的是，到底資訊安全管理在管什麼，管理的對象是什麼，或想要達成什麼樣的結果？在不同的層級裡，資訊安全管理可能是不同的，但是標的都是「資訊」。所謂的不同層級，係指組織層級或組織業務層級、產品發展過程層級或是專案層級、以及產品層級（最終的軟體產品），但是這其中，產品層級的問題較不容易在組織自身決定，而通常是在獲取者及產品使用者的身上。因為這些產品可能需要協助使用者做到資訊安全管理的要求，但是，要做到哪些資訊安全管理的要求，則需要獲取者在獲取活動的計畫作為（含產品規劃、產品需求）階段就應決定。
　　除了最終產品之外，組織應注重到的，就是組織（業務過程）層級與產品發展過程層級（專案層級）的資訊安全管理活動了，這些都是組織內部的工作。今天，不論導入的○○○○是什麼，就算是資訊安全管理系統本身，也有資訊安全管理系統資訊之資訊安全管理的問題存在，而這些情況是否能夠被發現，則端視組織本身對於資訊安全管理的對象是否有清楚的認識而定。所有的○○○○所產生的資訊才是資訊安全管理系統關注的事項，而這些並無關於所有的過程活動是否有帶有security, confidentiality, integrity, avaialbility的字眼。
　　有資訊安全管理意涵的語句，其述敘可能會像是：「專案成員應定期向專案經理報告當期的工作進度，並經過專案經理的驗證」，以這句話而言，其本身就已經隱含了相關的資訊安全管理要求，因為，經過仔細的分析，這句話裡其實也已經包含了「機密性」、「完整性」、與「可用性」的要求了。在這句話中，包含了資訊接收的對象（專案經理）、定期（可用性）、當期的工作進度（完整性）、資訊傳送的對象與接收者（歸責性、不可否認性、與可靠性等）。
　　在研究相關課題時，最好能夠就問題的本質去深入理解，而非僅憑幾個關鍵字，就期望找出所有的答案，因為很有可能發生找錯對象的情況。

----------------
引文: