Informationssicherheit ist kein Selbstzweck. Spektakuläre Sicherheitsvorfälle, die hohe finanzielle Einbußen oder geschäftsschädigende Imageverluste mit sich bringen, belegen dies regelmäßig. Mit einem Informationssicherheitsmanagementsystem (ISMS) begegnen Sie solchen Risiken mit einem organisationsübergreifenden Ansatz:

• Identifikation von Risiken für die Informationssicherheit
• Effektiver Umgang mit solchen Risiken
• Anbindung der Informationssicherheit an das Risikomanagement der Gesamtorganisation
• Umsetzung geplanter Maßnahmen
• Kontrolle der Umsetzung und der Wirksamkeit eingeleiteter Maßnahmen
• Identifikation von Verbesserungspotenzial
• Einbindung aller relevanten Bereiche der Organisation
• Schaffung einer organisationsweiten Aufmerksamkeit
• Bewertung von Effektivität und Effizienz des ISMS
• Ressourcenplanung

Diese Punkte müssen in regelmäßig wiederkehrenden Prozessen abgearbeitet werden.

Die Notwendigkeit für die Einführung eines ISMS’ haben auch die Gesetzgeber und verschiedene Verbände erkannt und mit der Verabschiedung von Gesetzen und Vorschriften reagiert: KonTraG, Basel II, SOX, MaRisk oder GMP sprechen ein solches System mit den Begriffen Risikomanagement, Sicherheitskonzept, Compliancemanagement oder internes Kontrollsystem an.