Informationsverarbeitende, -speichernde und -übertragende Systeme müssen vor Schäden bewahrt werden und die Daten müssen geschützt werden. Dafür werden drei Kriterien angelegt: die Verfügbarkeit, die Integrität und die Vertraulichkeit von Informationen. Außerdem müssen personenbezogene Daten geschützt werden.