Zum IT-Grundschutz gehören die Standardsicherheitsmaßnahmen für typische IT-Systeme. Die Basis des IT-Grundschutzkonzepts ist der Verzicht auf eine detaillierte Risikoanalyse , da von einer pauschalen Gefährdung ausgegangen wird. Es werden drei Schutzbedarfskategorien gebildet, woraufhin der Schutzbedarf ermittelt und entsprechende personelle, technische, organisatorische und infrastrukturelle Sicherheitsmaßnahmen aus dem IT-Grundschutzhandbuch ausgewählt werden. In diesem werden neben Eintrittswahrscheinlichkeit und potentieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt.