1.安全信息系统构建基础与目标
目前，各种组织对于信息安全都越来越重视，基于网络的新一代大型信息系统也得到越来越广泛的应用，但与此同时，这些信息系统也面临着越来越严峻的安全态势和威胁。一般而言，大型网络信息系统面临着两方面的安全挑战。
(1)组织内的信息技术环境威胁
由于组织的信息系统都会在一个给定的信息技术环境中运作，信息系统的安全设计一般都会对它置身其中的环境做出某些物理、控制、威胁等方面的假设，因此，组织内的信息技术环境与信息系统假设的环境是否匹配往往是很多安全漏洞的来源。例如，组织一般会希望能够规划设计一个与周边信息技术环境整合的信息系统。一般来说，整个信息系统的建设都是由业务驱动的，但这一规划设计过程经常会因为技术人员和业务人员之间沟通不畅而失败。由于这个沟通上的问题，如果信息系统的设计是由业务管理人员主导的，那么信息系统跟周边的信息技术环境的整合就很容易出现问题。但由此所面临的安全问题，就是信息系统不能被确定其信息技术环境是否完全彻底地满足它的运作要求。此外，由于信息系统的庞大性，不可避免地会出现多种系统环境融合的不一致问题，这也使得整个信息系统的技术环境无法获得确定的保障。
(2) 信息系统的系统安全管理问题
随着一个组织的业务不断扩大和处理数据的增多，组织的信息系统变得越来越庞大而日趋难以管理，这就需要由具有专业技能的管理人员来实现安全管理。对组织市言，信息系统是受业务驱动并为业务提供服务的。因为业务运作对信息系统的依赖性，组织的业务管理者都不可避免地要求信息系统有一定的服务质量(水平)保证(Service Level Agreement, SLA) ，其中，相当重要的部分的质量是属于安全保障(Security Assurance) 。信息系统的安全质量需要组织管理层的积极参与才能得到应有的保障。管理层在信息安全管理问题上可以发挥不同层面的作用，例如，组织管理者确定信息系统安全的含义、业务管理者判断业务承受风险的能力、系统安全管理者制定风险控制措施与管理策略等。
信息系统存在的意义关键是为其业务目标和组织目标服务，在构建信息系统过程中所考虑的各种因素也必须以此为核心。信息系统的安全需求是根据信息系统要满足的安全目标而来的，而安全目标又是由其组织和业务的管理吕标而来的。下面举例来说明其中的道理。
一般而言，信息安全的理论研究涉及~下基本属性:机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性等。安全需求的目标就是要确保信息系统有足够的保护措施以达到这些基本属性，所以这些基本属性也称为安全目标。但这些理论的定义又不一定能满足实际需要。
组织一般需要从自身的实际情况考虑，在安全风险与系统成本之间做出平衡。不同的组织（甚至在同一组织的不同部门)都会因为业务特点而只对某些安全属性更重视。所以，从属于不同组织的信息系统就很可能有不一样的安全目标。比如，一般企业的电子商务系统和国家部门的电子政务系统之间的安全需求就有很大的区别:信息系统的不同部分又有不一样的安全目标。
因此，在构建一个安全信息系统之前，首先要分析组织对于安全的理解是怎样的，组织的领导者和管理人员希望信息系统能满足组织哪一方面的安全需求，然后才能谈安全标准、安全技术等概念的具体实现。
然而，组织的管理人员不一定是安全专家或技术专家。那么，如何来获取和分析他们对于安全的需求呢?如何让来自不同领域的人员对信息系统所要实现的安全目标达成共识呢?如何在构建设计信息系统的过程中，对于每一个安全需求是否得到实现和评估效果进行跟踪呢?这些疑问促使信息系统研究者和设计者去寻求一种工具，这种工具将便于他们理解组织的业务目标、信息需求、技术环境现状、解决方案等信息，以实现安全信息系统的构建。
针对这需要，可以利用组织体系结构(Enterprise Architecture, EA)这个信息管理领域的概念来解决管理人员与技术人员之间的沟通问题。作为一个信息管理的工具，EA提供了一个抽象描述组织信息体系的多视角的框架，能更有效地把信患安全的问题引入这个多视角的框架里，让不同部门的人员沟通、了解并得到更符合实际需要的分析。