بر اساس تعریف مشترک واژه نامههای مختلف، مفهوم امنیت عبارتست از دوری از خطر، و مفهوم خطر عبارتست از در معرض آسیبدیدگی یا از دست دادن.
بنابراین هنگامی که از امنیت اطلاعات سخن به میان میآید، منظور حفظ و حراست از اطلاعات و دور کردن اطلاعات از خطر آسیبدیدگی یا از دست دادن آن است. البته در خصوص اطلاعات به دلیل ماهیت آن، گاهی ممکن است آسیب نبیند و از بین هم نرود؛ ولی افشای آن مقولهای غیرمجاز به شمار برود که در ادامه مطالب به آن پرداخته خواهد شد.
لذا جهت تأمین امنیت اطلاعات سه مؤلفه مطرح میشود، این مؤلفهها عبارتند از محرمانگی، صحت و در دسترس بودن. بنابراین امنیت اطلاعات با تحقق این سه مؤلفه بدست میآید. اطلاعات میبایست در مقابل دسترسی افراد غیرمجاز محرمانه باشد، قابل دسترس برای افراد مجاز باشد، و صحت آن اطلاعات تضمین گردد.
بر اساس بررسی های انجام شده در اکثر سازمانهای موجود امنیت اطلاعات معمولا براساس یک سری اقدامات واکنشی طراحی، جمع آوری و پیاده سازی می شود؛ به این صورت که یک نیازمندی شناخته شده و جزئیات آن توسعه داده شده و راه حلی برای مقابله با یک وضعیت خاص ارائه می شود. در این فرایند هیچ فرصتی برای در نظر گرفتن ابعاد استراتژیک موضوع داده نمی شود و نتیجه این نوع رفتار این خواهد بود که سازمان براساس یک سری راه حل های فنی پیچیده که بر اساس تجربیات فردی ارائه شده است ساخته می شود که هریک از این راه حل ها به طور مستقل طراحی وتوسعه داده شده اند و هیچ تضمینی برای اینکه مجموعه ی این راه حل ها با هم سازگاری و همکاری متقابل داشته باشند وجود ندارد. معمولا تحلیلی بر هزینه های بلند مدت، بویژه هزینه های عملیاتی که نسبت بالایی از هزینه های کل سازمان را در بر می گیرد انجام نمی شود و همچنین استراتژیی که بتواند از اهداف کلی سازمان حمایت کند وجود ندارد.
یک روش برای پرهیز از مشکلات بوجود آمده از تکه تکه شدن بخش های مختلف سازمان توسعه یک معماری امنیتی است که بر اساس فعالیت سازمان طراحی شده باشد؛ همچنین معماری که توصیفی از روابط بین روال های فنی و راه حل های ارائه شده برای پشتیبانی از نیاز های بلند سازمان را به صورت قابل فهم و شفاف ارائه کند. اگر معماری انتخاب شده موفق باشد، سپس یک چارچوب منطقی برای تصمیم گیری براساس مجموعه ای از راه حل های امنیتی ارائه شده مهیا خواهد شد. ضوابط تصمیم گیری باید از یک درک کامل بر آمده از نیازهای سازمان مشتق شده باشد،که این ضوابط شامل:
گذشته از این، امنیت سیستم های اطلاعاتی یک قسمت کوچک از امنیت اطلاعات، تضمین صحت اطلاعات و یا مدیریت ریسک اطلاعات می باشد، که به نوبه خود بخشی از یک مبحث بزرگتر به عنوان امنیت سازمان می باشد. امنیت سازمان در برگیرنده ی: امنیت اطلاعات؛ تداوم فعالیت سازمان؛ امنیت فیزیکی و محیطی سازمان می باشد.