Generellt kan en myndighets säkerhetsarbete för IT-system omfatta följande steg:
Säkerhetsanalys
I ett första steg genomförs en säkerhetsanalys, där realistiska hot och risker mot IT-systemet beskrivs och, om hoten blir verklighet, vad de skulle innebära för myndighetens verksamhet.
Säkerhetspolicy
Nästa steg är att en säkerhetspolicy formuleras som anger övergripande mål för säkerheten samt regler och riktlinjer för denna. Säkerhetspolicyn ska även omfatta organisations- och ansvarsfördelning för säkerhetsarbetet.
Säkerhetsplan
Säkerhetspolicyn omsätts i en säkerhetsplan. I säkerhetsplanen anger myndigheten de åtgärder som måste vidtas för att målen ska uppfyllas.
Handlingsplan
I ett sista steg tar myndigheten fram en handlingsplan och prioriterar och planlägger de åtgärder som finns i säkerhetsplanen.
Under arbetet med IT-systemets säkerhetsfrågor brukar man identifiera problemområden som inte tidigare har belysts. Detta kan leda till att det totala säkerhetsmedvetandet inom en myndighet avsevärt höjs.