許多人以為資訊安全是個「技術」議題，但事實上它是一個需要技術輔助的「管理」議題。2004 年Wells Fargo 銀行員工的筆記型電腦在公司外遭竊，最敏感的客戶交易紀錄及二十萬筆信用卡資料洩漏，造成公司嚴重的財務與形象損失。若要防止這一類的資訊安全事件，技術固然重要，例如筆記型電腦應該設定很強的登入密碼，同時重要資料必須加密。但更重要的是管理，例如員工是否確實地執行加密要求？是否有必要將這麼多機密資料存放在可以攜出的筆記型電腦？一旦筆記型電腦遭竊，是否有一套標準作業流程來處理這種緊急狀況，以降低客戶與組織的損失？如 圖 1-1 所示， 完整的資訊安全應該同時建設三個P ： 它們是「人員（people）」、「程序（process）」、與「產品（product）」。我們可以用一句話來整合三者的關係：人員都遵守資訊安全程序，產品才能發揮功效。延續前面的例子：公司規定筆記型電腦要設定很強的登入密碼，同時重要資料必須加密，這就是一種程序規範。公司必須對員工進行宣導與獎懲，使所有員工都正確地執行這個程序。唯有如此，公司所購買的作業系統、加解密產品、甚至單點登錄（single
sign-on）系統才能發揮保護資訊的功效。

有一家公司購買並安裝了很強的登錄系統，並且規定所有員工必須設定至少八個字元的通關密碼（password），同時密碼必須每月更換，而且相同密碼在一年之內不得重複使用。員工雖然都照做了，但有些人因為記不得經常更換的密碼，就把它寫成小紙條貼在螢幕上。這家公司有安全的產品，也訂定了安全的操作程序，但因為人員欠缺資訊安全意識而功虧一簣。可見三個P，缺一不可。