Punktem wyjścia do opracowania skutecznych planów ochrony jest analiza zagrożeń.
Wielkość i rodzaj charakterystycznych dla systemu zagrożeń, poza standardowymi, oraz wartość i znaczenie projektowanego systemu determinują kryteria wyboru środków ochrony.
Środki i metody zabezpieczeń Mucek (1991) dzieli na trzy następujące grupy:
- fizyczne, wiążące się z klasyfikacją przechowywanych programów i danych oraz ograniczeniem dostępu do pomieszczeń urządzeń,
- logiczne, wiążą się z ochroną przed zagrożeniami przypadkowymi w oprogramowaniu zarówno systemu operacyjnego jak i programów użytkowych
- organizacyjne, wiążą się ze środowiskiem socjologicznym systemu, czyli kadrami i organizacją pracy tj. m.in.
- odpowiedzialnością za wykonywana pracę (konieczność przydzielania konkretnej pracy konkretnej osobie i sprecyzowaniem nie tylko wymagań merytorycznych, ale i dotyczących ochrony informacji),
- ładem i porządkiem w miejscu pracy (zapewnia to przejrzystość pracy, która umożliwia łatwiejsze wykrycie działań nielegalnych),
- pracą bazy danych - jest to newralgiczny punkt, w którym przechowywane są wszystkie informacje o eksploatowanym systemie, dostęp do niej powinien być całkowicie sformalizowany i zawsze kontrolowany.