Ein Informationssicherheitskonzept ist ein Plan, mit dem aufgrund der Analyse aller Gegebenheiten mögliche Gefährdungen minimiert bzw. eliminiert werden sollen. Dazu müssen zuerst die zu schützenden Objekte bestimmt werden. Für diese Objekte sind Schadenszenarien und mögliche Gefährdungen bzw. Bedrohungen zu ermitteln. Unter Beachtung von Eintrittswahrscheinlichkeiten und möglichen Auswirkungen der Gefährdungen werden Massnahmen entwickelt, um den Gefährdungen zu begegnen. Abschliessend ist eine Analyse der Risikotragbarkeit und eine Deklaration der Restrisiken notwendig.