ITIL 保证信息安全措施切实在战略、战术和运行三个层次得到有效的实施。信息安全被认为是 一个控制、计划、实施、评估和维护反复的过程。 

 ITIL 把信息安全分解为：

   策略：组织要达到的总体目标 

   过程：要实现目标采取的行为 

   程序：何人、何时、如何实现目标 

   规程：采取具体行为的规程 

ITIL 定义信息安全为一个不断的检查和改进的循环过程，鉴于一些组织把实施和监控作为一个步骤，ITIL 信息安全过程可以描述7 个步骤： 

    1.  IT 客户通过风险分析识别其安全需求； 

    2.  IT 部门分析这些安全需求的可行性，并且把其和组织最小信息安全基线相比较； 

    3.  客户和IT 组织协商确定服务级别协议(SLA)，SLA 包括以可测量的目标描述的信息安 全需求和验证其是否达到的方法。 

    4.  在IT 组织内协商和定义运行级别协议（OLA），详细描述如何提供信息安全服务。 

    5.  实现和监控SLA 和OLA； 

    6.  定期向客户报告所提供的信息安全服务的有效性和状态； 

    7.  有必要的条件下更改SLA 和OLA。 

 服务级别协议 

 SLA 是ITIL 信息安全过程中一个关键的部分，是一个描述服务级别的书面正式协议，包括IT 负责提供的信息安全。SAL 应该包括关键的性能指标和性能评价准则，通常SLA 中信息安全陈述包括下面几个方面： 

•     允许的访问手段 
•     允许审计和记录日志 
•     物理安全措施 
•     用户信息安全培训 
•     用户访问授权规程 
•     报告和调查信息安全事故 
•     期望的报告和审计 

 上述过程的详细信息和服务桌面的功能可以在本文后面的参考文献中找到。 

 除了SLA 和OLA，ITIL 定义了其他三个信息安全文档： 

•      信息安全策略：ITIL 指出信息安全策略应该来高级管理层，包括下面内容： 

       1. 组织信息安全的目标和范围 

        2. 信心安全管理的目的和制度 

         3. 信息安全角色和职责 

•     信息安全计划：描述安全策略在一个特定的信息系统和/或业务部门如何实现； 
•     信息安全手册：日常的操作文档，给出具体的详细的工作规程。