Informationssicherheit berührt viele Bereiche eines Unternehmens: die IT-Infrastruktur, das Personal, die physische Umgebung aber auch das Betriebsmanagement und vieles mehr. Zu viele Aspekte, als dass nicht jedes Unternehmen irgendwo Lücken in seinem Sicherheitssystem hätte. Zudem müssen Bestimmungen wie die des Sarbanes Oxley Acts, Basel II oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) eingehalten werden. In komplexen Unternehmensnetzwerken kann Sicherheit nur noch über organisationsweite Ansätze und von kompetenten Experten hergestellt werden. Marktstandards wie ISO 17799, auch unter Berücksichtigung der Detaillierungen des Grundschutzhandbuchs des Bundesamtes für Sicherheit in der Informationstechnik (BSI GsHb), bieten dabei gute Orientierung, um ein effektives Security-Management einzuführen.
ISM unterstützt beim Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) in vier Schritten:

1. Aufbau eines Risikomanagementsystems (strategisch und operativ)
2. Definition von Regeln und Policies
3. Evaluierung und Bewertung von Schwachstellen
4. Konzipierung (und nachfolgende Umsetzung) von Security-Maßnahmen

Aspekte eines ISMS

• Compliance-Anforderungen
• Enterprise Compliance Management
• Regeln und Policies
• Schutzbedarf von Geschäftsprozessen