همزمان با گسترش تجارت الكترونیك و تبدیل روابط و تعاملات سنتی به روابط الكترونیكی، سازمان‌ها و كاربران این فن‌آوری به این سمت می‌روند كه در كنار استفاده از مزایای این فن‌آوری، خود را از خطرات احتمالی مصون نگه‌داشته و بر میزان امنیت سیستم‌های خود بیفزایند. اولین گام برای رسیدن به چنین مطلوبی تعیین سیاست‌های امنیت كامپیوتری سازمان می‌باشد.
یكی از مواردی كه در سیاست امنیتی سازمان لحاظ می‌شود، شناخت آسیب‌پذیری‌ها و مشكلات امنیتی سازمان و به عبارت دیگر ارزیابی امنیتی می‌باشد. ارزیابی امنیتی نقاط آسیب‌پذیری سیستم‌ها و شبكه‌های گوناگون را كشف كرده و زمینه لازم جهت بر طرف كردن آن‌ها را فراهم می‌آورد.
آن‌چه به‌طور معمول منشأ تهدیدات در سیستم‌های اطلاعاتی است ناشی از عدم وجود کنترل‌های لازم روی آن سیستم‌ها است. نمونه‌های واضح این سیستم‌ها، شبکه‌ها و خدمات عمومی روی شبکه به‌خصوص شبکه اینترنت است. گرچه آثار بیشتر تهدیدات روی سیستم‌های اطلاعاتی عمومی است ولی راه‌کارهای لازم برای برقراری امنیت نمی‌تواند تنها یک سیستم خاص را مورد توجه قرار دهد. تبادل سیستم‌های اطلاعاتی و حتی غیر اطلاعاتی در یک سازمان می‌تواند منجر به تهدیدات بالقوه‌ شود که یک راه‌کار مناسب باید تمامی این تهدیدات را در نظر گرفته باشد. بنابراین کنترل‌هایی که در سیستم‌های اطلاعاتی جدید به‌کار می‌رود باید با دانش گسترده‌ و کاملی نسبت به تکنولوژی جدید طراحی شده باشند.