Menurut Whitman (2010) keamanan informasi adalah perlindungan terhadap informasi dan karakteristik kritikal yang dimilikinya (confidentiality, integrity, dan availability), termasuk didalamnya sistem dan perangkat keras yang mengunakan, menyimpan, dan mengirimkan informasi tersebut, melalui penerapan kebijakan, pelatihan dan program kesadaran akan keamanan informasi, dan teknologi.
Menurut Schwartz (1990), kerugian yang terkait keamanan informasi akan terus terjadi dan dampaknya akan menghancurkan organisasi. Menurut Saint-Germain (2005), organisasi perlu mengidentifikasikan dan menerapkan kontrol yang tepat untuk menjamin keamanan informasi yang memadai. Van de Haar dan Von Solms (2003) menyatakan bahwa kontrol keamanan informasi membantu organisasi dalam menyediakan tingkat keamanan yang dibutuhkan organisasi untuk informasi mereka. keamanan informasi yang efektif dapat dicapai melalui usaha bersama dari information system owner, user, custodian, security personnel, customer, dan stakeholder lainnya yang bertanggung jawab (Conner & Swindle, 2004). Dari hal – hal diatas dapat disimpulkan bahwa keamanan informasi bergantung terhadap kontrol keamanan informasi yang diterapkan perusahaan. Pengaruh pemilik informasi maupun custodian dalam menggunakan informasi dan menjaga informasi juga memberikan sumbangsih terhadap keamanan informasi. Dan dampak dari tidak tersedianya kontrol keamanan informasi yang memadai, dapat memberikan kerugian yang bisa terus menerus terjadi jika langkah – langkah penerapan kontrol tidak dilakukan. (Richard A. Caralli, 2007).