Strategia obrony „w głąb” rekomenduje utrzymanie równowagi pomiędzy możliwościami ochrony, kosztami, efektywnością oraz względami operacyjnymi.
Pierwszym kluczowym elementem jest poznanie potencjalnych atakujących, zrozumienie ich motywów, oraz potencjalnych sposobów ataków. W tej kategorii należy również uwzględnić zagrożenia spowodowane błędami ludzkimi oraz zagrożeniami naturalnymi.
Zapewnienie bezpieczeństwa informacji, powinno uwzględniać ochronę z uwzględnieniem następujących cech informacji: poufność, integralność, dostępność, uwierzytelnienie oraz niezaprzeczalność.
Bezpieczeństwo opiera się na następujących działaniach: ochronie, wykryciu oraz reakcji na zagrożenie.
Fundament strategii bezpieczeństwa oparty jest na trzech filarach: ludziach, technologii oraz procesach.
W ramach filaru ludzkiego, kluczowe jest wsparcie najwyższego kierownictwa, jasno zakomunikowana polityka oraz procedura, odpowiednie szkolenie oraz świadomość personelu, podział ról, zadań i odpowiedzialności oraz rozliczalności za wykonane działania. W ramach tego obszaru należy zapewnić również ochronę fizyczną oraz bezpieczeństwo procesów kadrowych.
W ramach filaru technologia, kluczowe jest zastosowanie optymalnych rozwiązań technologicznych oraz implementacja polityk i procedur z nimi związanych. Ważnymi elementami są: architektura, kryteria ochrony (bezpieczeństwo, interoperacyjność, PKI), weryfikacja produktów dostarczonych przez strony zewnętrzne oraz proces zarządzania ryzykami dla systemów zewnętrznych. Pryncypiami ochrony są: obrona w wielu miejscach (ochrona sieci i infrastruktury, ochrona granic, ochrona środowiska przetwarzania oraz wykorzystanie infrastruktury wspomagającej) oraz obrona wielowarstwowa.
W ramach filaru procesy to codzienne działania operacyjne, w tym: utworzona i aktualna polityka bezpieczeństwa, wdrożone zarządzanie ryzykiem, zarządzanie zmianą, zarządzanie procesami związanymi z technologią, zarządzanie ochroną krytycznych usług i infrastruktury, zarządzanie oceną aktualnego stanu bezpieczeństwa, monitorowanie i reagowanie na zagrożenia, zarządzanie wykrywaniem, ostrzeżeniami oraz reakcją na nie oraz zarządzanie procesami odtwarzania.