Informationssäkerhet ska förebygga att uppgifter obehörigen röjs, ändras eller förstörs. I efterhand ska det gå att analysera förlusten av information för att kunna minimera skadan och förebygga att liknande händelser inträffar i framtiden. Information är en av bolagets viktigaste tillgångar och är en integrerad del i all annan verksamhet. Utan information kommer verksamheten inte kunna bedrivas effektivt och kan påverka lönsamheten. För att hantera känslig information kan denna vara sekretessbelagd eller inte. Det är viktigt att hantera informationssäkerhet både internt och externt och hur informationssäkerhet säkerställs när någon inom företaget slutar.
I efterhand ska det vara möjligt härleda hur information har hanterats t ex vem som tagit del av en uppgift och när detta skedde. Syftet med spårbarheten är att det i efterhand är lättare att bedöma eventuell skada vid läckage.
En väsentlig del i informationssäkerhetsarbetet är att klassificera information, sekretessbelagt och icke sekretessbelagt material, för att utifrån detta skapa en fungerande hantering av olika material och handlingar.
Arbetet omfattar genomlysningar, omvärldsbevakning och stresstester av känsliga system.