情報セキュリティ対策の基本は、トップが経営方針の一環として「情報セキュリティポリシー」を定めることである。それに基づいて情報資産の評価、リスク分析、対策の立案、必要なリソースの確保、社内規則の制定、体制整備、調達、運用、結果の評価、監査、見直し等を含むPDCAサイクルを遂行することが必要である。この理念と活動を情報セキュリティマネジメントと呼ぶ。

企業が保有する、業務を遂行するために必要となる保護すべき「情報資産」の安全性を確保するために必要とされる要素として、「機密性（Confidentiality）・完全性（Integrity）・可用性（Availability）」がある。情報資産の種類によって必要とされる要素の重みには違いがあり、例えば、営業秘密に類する情報であれば機密性が要求され、財務報告に係る報告書を構成する情報であれば完全性が求められる。また、顧客へ公開Webサーバーを使ったサービスを提供している場合には可用性が求められるであろう。企業が保護すべき情報資産とその価値を評価し、情報システムの利用形態等に応じて発生する恐れのある「脅威」が何かを推定し、それに関係する情報システムの脆弱性とを合わせて分析し「リスク」を予測する。その結果に応じて適切な対策を定めることが重要である。

近年では、個人情報や知的財産の保護など、コンプライアンス（法令遵守）の観点からも情報資産の保護が重要となっている。また、国際標準であるISO/IEC　27001:2005では、上記3つに加え真正性、責任追跡性、否認防止及び信頼性の考慮も求めている。これらは、企業が社会一般に対して負う責任（社会的責任）と信頼の維持を保証するものといえよう。企業が情報を取り扱う上で、この概念を抜きにして語ることはできない。これからの企業における情報セキュリティは、情報資産の「機密性・完全性・可用性」を守ることに加え、情報の取り扱いに関する法的責任（Liability）から企業を守るものでもある。