Im Kontext von IT-Sicherheitsrichtlinien (z. B. Common Criteria oder ITSEC) sind Sicherheitsvorgaben definiert als eine produktspezifische Menge von Sicherheitsanforderungen an ein zu untersuchendes IT-System (TOEs).

Das Konzept der Sicherheitsvorgaben wird dazu verwendet, um die Sicherheitslage eines Evaluierungsgegenstandes (EVG) anhand von Sicherheitszielen, möglichen Gefährdungen und Annahmen über die Betriebsumgebung der IT zu beschreiben. Sicherheitsvorgaben können sich auf ein (oder mehrere) generische Schutzprofile beziehen und diese(s) konkretisieren.