Foranstaltninger er tiltag, der bevarer og/eller ændrer en risiko. En foranstaltning kan være forebyggende, opdagende, korrigerende eller en kombination af disse. Det er nærmere forklaret i hver foranstaltning, hvilke risici, den påvirker, således, at det nemmere kan relateres til organisationens egne risikovurderinger.
Tekniske foranstaltninger er fx it-løsninger til brugeradministrering, automatisk kryptering/sletning, automatisk adgangskontrol (log-in), fysiske døre og låse.
Organisatoriske foranstaltninger er fx sikkerhedspolitikker, procedure for jævnlig kontrol af adgangsrettigheder, uddannelse i korrekt anvendelse af it-løsninger (altså kompetencer), vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger.
I standarder (som ISO 27001) og lærebøger kan foranstaltninger være opdelt i yderligere kategorier, fx "fysiske", "personrelaterede" eller "adfærdsmæssige". Imidlertid beskriver databeskyttelsesforordningen kun kategorierne "tekniske" og "organisatoriske", så eksemplerne herover dækker det hele. Når der står fx fysiske låse kan dette betegnes som en fysisk foranstaltning, men også som endnu en teknisk foranstaltning. Uddannelse kan betegnes som en personrelateret eller adfærdsmæssig foranstaltning, men også som endnu en organisatorisk foranstaltning.
Det er ikke afgørende, i hvilken kategori man kan placere en foranstaltning. Det afgørende er, at der er etableret tilstrækkelige foranstaltninger til at sikre et sikkerhedsniveau, som kan beskytte behandlinger af personoplysninger – og forretningen.
”Tiltag” er et udtryk, som anvendes meget i kataloget, og det er reelt også en foranstaltning. En firewall kan beskrives som en foranstaltning, men for at den skal have tilstrækkeligt beskyttende effekt, skal der mere til end indkøb og installation af en software- eller hardware-firewall. En firewall skal opsættes, administreres og holdes opdateret på korrekt vis, og dertil kommer, at en organisation typisk vil have en fordel af flere firewalls, der administreres forskelligt. En foranstaltning, der beskrives som ”Firewall”, vil dermed reelt bestå af mange tiltag – ofte en blanding af noget teknisk og noget organisatorisk. Disse tiltag kunne hver især beskrives som selvstændige foranstaltninger, men for at undgå forvirring kaldes de ”tiltag” i dette katalog.