Ein Informationssicherheitskonzept ist ein Plan, mit dem aufgrund der Analyse aller Gegebenheiten mögliche Gefährdungen minimiert bzw. eliminiert werden sollen. Hier-zu müssen zuerst die zu schützenden Objekte bestimmt werden. Für diese Objekte sind Schadenszenarien und mögliche Gefährdungen bzw. Bedrohungen zu ermitteln. Unter Beachtung von Eintrittswahrscheinlichkeiten und möglichen Auswirkungen der Gefährdungen werden Mass-nahmen entwickelt, um den Gefährdungen zu begegnen. Abschliessend sind eine Analyse der Risikotragbarkeit und eine Deklaration der Restrisiken notwendig.