La informació és actualment un dels principals actius de les empreses. Cal protegir-la d'una manera intel·ligent preservant la seva seguretat en sentit ampli:

• Confidencialitat és garantir que la informació estigui disponible exclusivament per a persones autoritzades.

• Integritat és garantir que la informació sigui completa, precisa i protegida contra canvis no autoritzats.

• Disponibilitat és garantir que la informació estigui disponible i es pugui utilitzar quan es necessiti.

• Compliment és garantir que la informació i els seus tractaments s'adeqüin a la legislació vigent.

La seguretat de la informació a l'empresa no se situa tan sols en el maquinari, programari i configuracions tècniques, fonamentalment consisteix en l'anàlisi corporatiu de la mateixa, el seu impacte en les guidelines i en els processos de negoci, la qual cosa comporta una dissecció i categoritzant de la informació d'acord amb criteris empresarials.

Aquesta anàlisi, amb indicació dels possibles riscos, contribuirà a valorar i decidir les mesures a aplicar per a la prevenció acceptable dels mateixos ia costos acceptables.

En aquesta línia es pronuncia també la regulació vigent en matèria de protecció de dades, en considerar que les mesures a aplicar han de basar-se en tres àmbits, tots ells necessaris:

• Àmbit organitzatiu.- fonamental per definir i mantenir un Sistema de Gestió de la Seguretat de la Informació (SGSI). Cal la gestió i actualització del sistema globalment perquè el mateix sigui eficaç i complet amb el pas del temps.

• Àmbit tècnic.- implementació dels controls que sorgeixen com a conseqüència de desenvolupar l'àmbit organitzatiu.

• L'àmbit jurídic sorgeix davant la necessària observança i compliment legal. Cada vegada apareix més regulació que afecta al Dret TIC. I a la "responsabilitat corporativa" per "omissió de les mesures de control".
  Independentment de l'obtenció de la certificació final, s'obtenen els beneficis directes per l'establiment de l'abast i objectius definits.