要達成資安防護的目標，最重要的事情就是安全控制（在 ISMS 稱為控制措施），作為系統的保護措施，以達成 CIA 並降低風險至可接受的等級。

物理控制

利用物理的硬體或設備、建築物和設施的構造、人員安全管理等措施，通常有控制、指揮、防止人員和設備在特定位置移動的方法，也包含其他組織控制的物理範圍保護措施，以保障實體安全。

技術控制

也被稱為邏輯控制，主要為針對系統、網路的安全控制措施，如可以利用 ACL 防止未經授權存取等。技術控制的方式可以透過軟體設定，也能透過硬體（如線路、開關等）進行配置。

行政控制

也稱為管理控制，包含對組織內部人員的要求、指南、程序等，透過行政控制可以有效規範內部人員的各項行為，並進行教育訓練，以達成控制目標。

以上介紹的為控制機制的分類，若依照控制目的則可以分為預防、偵察、糾正三個目的，可分別依照所面臨的問題或情況，選擇合適的控制措施。

治理

當組織的管理階層在制訂內部規範時，首先需要遵守法律，法律能促進標準的制訂，標準促成政策的制訂，政策又促進程序的制訂。

• 法規：由政府訂定的法律、行政命令等規範，若違反將會受到處罰
• 標準：提供一個符合法規的框架
• 政策：由組織管理階層制訂，為組織內部的行為提供大方向的指引
• 程序：比政策更細的規範，為完成一項工作的詳細步驟，遵照程序進行即可保障合規，也可以理解成「照圖施工、保證成功」的概念