IT-säkerhet bygger på:
Förståelsen om vilka tillgångar som finns inom organisationen och vad de är "värda" för organisationen och utomstående
Förståelse om risker för dessa tillgångar
(stöld, sabotage, spionage, naturkatastrof, mänskligt misstag, buggar i program)
Medvetenhet inom organisationen
Rätt säkerhetsorganisation det vill säga människor som arbetar med säkerhet
Rätt procedurer och arbetssätt som tar höjd för säkerhetsproblematiken
Rätt skalskydd för att förhindra att obehöriga, rent fysiskt, kan få tillträde till serverrum och dataterminaler
Rätt verktyg och mekanismer (till exempel loggar, brandväggar, antivirus, intrångsupptäktsystem (IDS)
Avvikelssehantering, det vill säga rapportering av säkerhetsproblem och systematiskt arbete med åtgärder
Regelbundna revisioner av IT-säkerhetssystemet (engelska: audit) av systemets effektivitet och ändamålsenlighet
Internationella standarder för IT-säkerhet är bland annat:
ISO/IEC 27001
ISO/IEC 17799
NIST SP 800
IETF Säkerhetsarkitektur, RFC 2196
Säkerhet, och IT-säkerhet handlar ofta om att förstå hotbilden, hantera sannolikheter för att utsättas för skada samt att balansera kostnader för motmedel för skydd mot värdet av det man skyddar.
En viktig del i IT-säkerhet är datasäkerheten som bland annat innebär att skydda sig mot hackare och virus eller stöld av information på en dator eller ett datornätverksamt att har arbetssätt så att informationen inte oavsiktligt förstörs.
I Sverige finns utbildningar inom IT-säkerhet bland annat på:
Blekinge Tekniska Högskola
Högskolan Dalarna
Högskolan Halmstad
Stockholms Universitet
KTH