Um geeignete Sicherheitsmethoden zum Schutz von Computernetzwerken und über versandte Nachrichten zu definieren, sollten zunächst die verschiedenen Sicherheitsziele identifiziert werden, die es zu gewährleisten gilt.

Dann ist es möglich, die potentiellen Bedrohungen und Angriffe zu analysieren und festzustellen, gegen welche Sicherheitsziele sie gerichtet sein können.

Demzufolge sollte eine genaue Bestandsaufnahme der vorhandenen IT-Infrastruktur erstellt werden (z.B. Netzwerkplan, vorhandene Betriebssysteme, Storage-NAS usw.).

Diese Inventarisierung sollte fortlaufend auf einem aktuellen Stand gehalten werden.

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) werden bei der Beurteilung der Sicherheit von Informationssystemen drei sogenannte „common criteria“ unterschieden: Verfügbarkeit, Integrität und Vertraulichkeit.

• Verfügbarkeit:
  Die notwendige Verfügbarkeit unterscheidet sich von Dienst zu Dienst. Es sollte allerdings klar geregelt sein, welcher Dienst, welches Netzwerk oder welches System wann verfügbar sein muss.
  
  
• Integrität:
  Unter der Integrität von Dateien, Daten oder Programmen versteht man die Eigenschaft, dass diese nur von befugten Personen in zulässiger Weise verändert werden können. Eine unzulässige Modifikation hebt die Integrität auf. Es muss also sichergestellt werden, dass Daten und Dateien unverfälscht und vollständig sind.
  
  
• Vertraulichkeit:
  Unter Vertraulichkeit versteht man, dass der Zugriff auf Informationen nur von befugten Personen erfolgt und kein unbefugter Informationsgewinn für Dritte möglich ist.