Das Information Security Management hat zum Ziel, die Information Security bei allen Service Aktivitäten wirkungsvoll zu steuern und zu überwachen. Die Norm verweist auf den Code of Practice ISO/IEC 27001, welcher eine gute Grundlage zur Umsetzung der Information Security bildet.

Information Security ist ein System von Richtlinien und Verfahren zur Identifizierung, Steuerung und zum Schutz von Informationen und allen Betriebsmitteln im Zusammenhang mit deren Speicherung, Übertragung und Abwicklung. Für die Erfüllung der Anforderungen an Information Security Management haben sich Best Practice Empfehlungen in folgender Struktur etabliert:

• IT Security Grundsätze
• Identifizieren und Klassifizieren von Information Assets
• Security Risk Assessment
• Controls (Kontrollen, Lenkungsmassnahmen)
• Dokumente und Records für den Nachweis

Vergleichen Sie hierzu den Information Security Management Prozess gemäss ITIL V3.