Security by Design bedeutet, Sicherheitsanforderungen bereits in der Entwurfsphase eines Systems oder einer Anwendung zu berücksichtigen. Du analysierst Bedrohungen, definierst Sicherheitsarchitektur und wählst sichere Komponenten, bevor die erste Zeile Code geschrieben wird. Dieser Ansatz ist wesentlich kosteneffizienter als nachträgliches Patchen. Zu den Methoden gehören Threat Modelling, Least-Privilege-Design und Defense in Depth. Im ISMS ist Security by Design eine Leitlinie für die Softwareentwicklung und Systembeschaffung gemäß ISO 27001 Annex A 8.25. Es ergänzt sich mit dem SDLC.