An ihrem Anfang war die Informationssicherheit gekennzeichnet von technischen Lösungen zur Erhöhung der Sicherheit. Die Einführung von Firewalls, von Verschlüsselungs- und Filtersystemen sowie der Schutz der Arbeitsplätze durch den Einsatz von Antiviren-Software standen im Vordergrund.

Diese Maßnahmen wurden primär aus den IT-Abteilungen getrieben und berücksichtigten die Anforderungen der Unternehmensleitung oder der Nutzer der Systeme eher zufällig denn gezielt.

Mit unseren heutigen Erfahrungen wissen wir, dass die Informationssicherheit immer an den Unternehmenszielen und den Anforderungen der Nutzer ausgerichtet werden muss. Ein erfolgreiche Einführung kann dabei nur gelingen, wenn sie systematisch alle Prozesse berücksichtigt und die Interessen aller Nutzergruppen vertritt.

Ein erfolgreiches und praxiserprobtes Rahmenwerk für die Einführung eines Managementsystems für die Informationssicherheit (ISMS) stellt die Norm IEC/ISO 27001 dar. Sie ist einfach strukturiert, benennt klar die Sicherheitsziele und lässt sich schrittweise, unter Berücksichtigung der jeweiligen Kosten/Nutzen-Situation, einführen.