信息安全通常强调所谓CIA三元组的目标，即保密性、完整性和可用性（如图所示）。CIA 概念的阐述源自信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。

1).保密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。
    2).完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。
    3).可用性（Availability）：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。
    当然，不同机构和组织，因为需求不同，对CIA原则的侧重也会不同，如果组织最关心的是对私秘信息的保护，就会特别强调保密性原则，如果组织最关心的是随时随地向客户提供正确的信息，那就会突出完整性和可用性的要求。
    除了CIA，信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对CIA 原则的细化、补充或加强。
    与CIA 三元组相反的有一个DAD三元组的概念，即泄漏（Disclosure）、篡改（Alteration） 和破坏（Destruction），实际上DAD就是信息安全面临的最普遍的三类风险，是信息安全实践活动最终应该解决的问题。