Ein IT-Sicherheitskonzept beschreibt umfassend alle notwendigen Maßnahmen, um den Betrachtungsgegenstand bzw. die verarbeiteten Informationen angemessen zu schützen.

Hierzu wird der Schutzbedarf der verarbeitenden Informationen bezüglich Vertraulichkeit, Integrität und Verfügbarkeit bestimmt. Darüber hinaus wird der Betrachtungsgegenstand in allen Bestandteilen vollständig beschrieben. Auf der Basis dieser Beschreibung werden alle denkbaren Bedrohungen und Risiken denen der Gegenstand bzw. die verarbeitenden Informationen ausgesetzt sein könnten bestimmt und notwendige Maßnahmen zu deren Reduzierung gewählt und beschrieben. Die so bestimmte Maßnahmenübersicht kann dann als Implementierungsleitfaden oder als Checkliste für deren Umsetzungsstatus dienen.