知名的商業作家Nicholas G. Carr在「Does IT Matter ?」(2003)一書中，指出企業面對瞬息萬變的競爭環境，為了追求更高的生產效率，紛紛導入各種資訊科技(IT:Information Technology)，IT對企業而言，已猶如水、電般，嚴然成為現代企業生存競爭的必要條件。然而導入的IT愈多，資訊安全事件對組織的衝擊也愈大。 資訊安全管理系統（Information Security Management Systems : ISMS），不是單純的應用軟體加主機硬體的組合，它所代表的是要組織內建立一套可以持續運作的「資訊安全管理制度」。但導入ISMS不單只是制度的套用，組織仍然必須有相對應的配套措施，才能使制度發揮其功能。然而過去研究並沒有對建置前應具備的條件作深入探討，所以對這方面瞭解較為缺乏。 本書透過兩家專業的顧問公司與一家民間企業和一家公立機構，以互補性質資產 ( complementary asset ) 理論為基礎，從實際導入ISMS的經驗中，探討組織應具備哪些互補性資產。研究結果不但呈現導入期間的困難，同時發掘組織所應具備的互補性資產為何。研究並建議組織成功導入ISMS的標準流程 ( standard operating procedure : SOP )。