Zarządzanie bezpieczeństwem informacji jest dość młodą interdyscyplinarną dziedziną z pogranicza techniki, organizacji i prawa, zajmującą się definiowaniem, osiąganiem i utrzymaniem bezpieczeństwa rozumianego jako zapewnienie dla systemów poufności, integralności, dostępności, autentyczności, rozliczności oraz niezawodności.[1]
Zarządzanie bezpieczeństwem informacji posiada własną, ciągle rozwijającą się jeszcze terminologię i metodykę. Wiedza ta, spisana w postaci mniej lub bardziej formalnych standardów o różnym zasięgu, opiera się w gruncie rzeczy na wieloletnich doświadczeniach administratorów złożonych systemów teleinformatycznych – pionierów tej dziedziny. Kluczowymi pojęciami z tego obszaru zagadnień są: zasoby, czyli aktywa, zagrożenia, podatności, następstwa oraz ryzyko. Ich zrozumienie pozwala przejść do przedstawienia kolejnych: analizy ryzyka, ochrony podstawowej, zarządzania ryzykiem i samego zarządzania bezpieczeństwem informacji, jako zbioru procesów.
Dlatego równie ważną kwestią jak pozyskanie informacji w przedsiębiorstwie jest jej ochrona. Istotnym czynnikiem kształtowania kultury informatycznej jest prawo. Na aktualnym etapie rozwoju komputeryzacji ma ono do odegrania ważną, wręcz pionierską rolę, która polega na wyznaczaniu standardów ,,dobra” i ,,zła” w całkowicie nowym, pozbawionym innych odniesień normatywnych obszarze aktywności człowieka, jakim jest automatyczne przetwarzanie informacji.
Głównym elementem podlegającym ochronie w przedsiębiorstwie są informacje przechowywane w systemie komputerowym. Ochronie podlega zarówno poufność, jak i autentyczność danych. Zagrożenia poufności są związane z możliwością uzyskiwania przez niepowołane osoby dostępu do informacji przechowywanych w systemie. Wraz z ekspansją e-biznesu pojawiły się zagrożenia związane z wykorzystaniem Internetu oraz aplikacji webowych. Poczta elektroniczna i dostęp do WWW to aplikacje krytyczne dla współczesnego biznesu, otwierające „drzwi” do sieci przedsiębiorstwa. Coraz powszechniejsze wykorzystywanie do prowadzenia biznesu serwerów webowych i aplikacji działających w technice webowej prowokuje coraz częstsze ataki. Dla zarządców sieci problem ochrony przed zagrożeniami internetowymi staje się strategiczny.[2]