安全管理体系有效发挥作用、起到实效，需要：

全面化：要针对评估中发现的问题，与最佳实践相比较所存在的差距，应覆盖人员和组织、制度和流程、技术手段等所有要素，覆盖信息系统的整个生命周期，覆盖管理的整个过程。

系统化：管理体系应符合PDCA（规划、实施、检查、改进）思想，必须要有测量、反馈机制，能够进行内部监督、审计，形成正向的内部激励机制，不断进行改进和完善。

流程化：制度是有益的、必须的，但还必须贯穿部门间藩篱的、目标可控、易于落地的流程。流程使人员不需要关注过多的制度，只需按照流程工作即可，减轻了人员负担。

规范化：对于具体工作，必须给出明确的工作指导和表单，规范人员的操作行为。

融合化：安全管理不是一个独立的体系，应与现运维管理、内部控制等现有制度和流程相融合，借鉴Cobit、ITIL、CMMI、PMP/PRINCE2、隐私数据保护等管理思想或方法的长处。