大切なのは，全社的なポリシーに基づき情報そのものを保護し，なおかつ従業員の行為を網羅的に把握できる仕組みを構築することである。しかし，単なる“ポイント的な対策”では十分な効果は見込めない。企業内で扱うデータは多岐にわたる上，日々新たなデータが作成・更新されているからだ。モビリティの進展により，アクセス経路も多様化している。
こうした状況に対応するには，保存中・転送中・使用中など情報がいかなる状態にあろうと，それを全社規模で識別・監視・保護できるようにする必要がある。例えば，社内での運用の場合はポリシーの適用範囲にあるのに，社外からアクセスした場合は，ポリシーの傘の外に置かれるのでは“盲点”を埋める対策とはいえないだろう。どのような行為をインシデントとみなすか，それに対してどのような保護アクションを行うか，サーバーやストレージなどの基盤システム，ネットワーク，エンドポイントまで含めて全社規模でポリシーの徹底を図らなければ意味がない。