ITIL 保證信息安全措施切實在戰略、戰術和運行三個層次得到有效的實施。信息安全被認為是 一個控制、計劃、實施、評估和維護反復的過程。 

 ITIL 把信息安全分解為：

   策略：組織要達到的總體目標 

   過程：要實現目標采取的行為 

   程序：何人、何時、如何實現目標 

   規程：采取具體行為的規程 

ITIL 定義信息安全為一個不斷的檢查和改進的循環過程，鑒于一些組織把實施和監控作為一個步驟，ITIL 信息安全過程可以描述7 個步驟： 

    1.  IT 客戶通過風險分析識別其安全需求； 

    2.  IT 部門分析這些安全需求的可行性，并且把其和組織最小信息安全基線相比較； 

    3.  客戶和IT 組織協商確定服務級別協議(SLA)，SLA 包括以可測量的目標描述的信息安 全需求和驗證其是否達到的方法。 

    4.  在IT 組織內協商和定義運行級別協議（OLA），詳細描述如何提供信息安全服務。 

    5.  實現和監控SLA 和OLA； 

    6.  定期向客戶報告所提供的信息安全服務的有效性和狀態； 

    7.  有必要的條件下更改SLA 和OLA。 

 服務級別協議 

 SLA 是ITIL 信息安全過程中一個關鍵的部分，是一個描述服務級別的書面正式協議，包括IT 負責提供的信息安全。SAL 應該包括關鍵的性能指標和性能評價準則，通常SLA 中信息安全陳述包括下面幾個方面： 

•     允許的訪問手段 

•     允許審計和記錄日志 

•     物理安全措施 

•     用戶信息安全培訓 

•     用戶訪問授權規程 

•     報告和調查信息安全事故 

•     期望的報告和審計 

 上述過程的詳細信息和服務桌面的功能可以在本文后面的參考文獻中找到。 

 除了SLA 和OLA，ITIL 定義了其他三個信息安全文檔： 

•      信息安全策略：ITIL 指出信息安全策略應該來高級管理層，包括下面內容： 

      1. 組織信息安全的目標和范圍 

        2. 信心安全管理的目的和制度 

         3. 信息安全角色和職責 

•     信息安全計劃：描述安全策略在一個特定的信息系統和/或業務部門如何實現； 

•     信息安全手冊：日常的操作文檔，給出具體的詳細的工作規程。