掌管公司內部資訊安全的中心概念，必須經由高階管理者主導、從上而下循序進行，並橫跨各部門組織、落實在每個人的日常工作步驟中，同時逐漸塑造重視資安的公司職場文化。這個概念聽起來很棒，但是執行上並不容易。當我們思考這個難題時，會發現三個關鍵挑戰：1. 專業的資訊安全人員不足，2. 員工沒有強烈達到資訊安全的動機及目標，3. 不是每一個人都可直接獲得資訊安全帶來的好處。欲解決上述難題，就必須思考：如何讓對的人做對的資安決策、如何設計資安管理流程、及定義崗位角色、責任歸屬與 KPI 評估指標，整體以有制度性的方式達到全面資安目標。