Im Kontext von IT-Sicherheitsrichtlinien (z. B.
Common Criteria oder
ITSEC) ist ein
Schutzprofil definiert als eine implementierungs-unabhängige Menge von Sicherheitsanforderungen an eine Gruppe oder eine Kategorie von zu untersuchenden IT-Systemen (
Evaluierungsgegenstand, kurz EVG). Das Konzept der Schutzprofile wird dazu verwendet, um die Sicherheitslage eines
Evaluierungsgegenstandes anhand von Sicherheitszielen, möglichen Gefährdungen und Annahmen über die Betriebsumgebung der IT zu beschreiben, um dann auf einer möglichst abstrakten Ebene generische Musterlösungen definieren zu können.