Informationssicherheit bedeutet, dass Informationen gegen verschiedene Bedrohungen gesichert werden, um die Kontinuität des Geschäftsbetriebs sicher zu stellen und gleichzeitig eventuelle Schäden so gering wie möglich zu halten und weiterhin möglichst hohe Geschäftsergebnisse zu erzielen. Informationssicherheit kann daher als Mittel zum Schutz von Folgendem angesehen werden:

• Vertraulichkeit, d. h. Informationen sind nur berechtigten Personen zugänglich. Empfindliche Informationen müssen vor der Veröffentlichung und dem Zugriff und Abfangen durch nicht berechtigte Personen geschützt werden.
  Integrität, d. h. die Richtigkeit und Vollständigkeit von Informationen und Prozessen. Es wird dafür gesorgt, dass Daten richtig und unbeschädigt sind und die Software richtig funktioniert.
• Verfügbarkeit, d. h. es wird dafür gesorgt, dass Informationen und Dienste den berechtigten Benutzern zur Verfügung stehen, wenn diese sie benötigen.
  Zur Sicherung von Informationen gehört auch, dass andere Charakteristiken wie Nachverfolgbarkeit,
• Zuverlässigkeit, Unwiderlegbarkeit und Verantwortlichkeit erhalten werden.
  Informationen stellen ein wertvolles Betriebsgut dar und müssen daher angemessen geschützt werden. Informationen können in den verschiedensten Formaten erscheinen, z. B. auf Papier gedruckt oder geschrieben, elektronisch gespeichert, auf Film veröffentlicht oder in Gesprächen übermittelt. Informationen sollten immer in angemessener Weise geschützt werden, und zwar unabhängig von den Mitteln, mit denen die Informationen genutzt oder gespeichert werden.

Implementierung von Informationssicherheitsnormen

Durch die Implementierung von Normen zur Sicherung von Informationen wird dafür gesorgt, dass alle oben genannten Hauptaspekte der Informationssicherheit mit Hilfe von Audits und durch Überprüfung der Arbeitsverfahren der betroffenen Firmen oder Organisationen sicher gestellt werden.

Der Anwendungsbereich ("Scope") der internationalen Sicherheitsnormen ISO/IEC 27002 (ISO/IEC 17799) und ISO/IEC 27001 ist nicht auf die Informationssysteme selbst beschränkt, sondern umfasst auch alle damit verbundenen Arbeiten, Geräte und Anlagen. Daraus ergibt sich, dass die Behandlung von Informationen vordefiniert und bestimmte Betriebsverfahren festgelegt werden müssen.

Es ist von wesentlicher Bedeutung, dass die einzelnen Geschäftseinheiten ihre jeweiligen Verfahren und ihre Organisation in einem getrennten Handbuch eintragen - einem Organisationshandbuch. Idealerweise sollten solche Handbücher umfassend sein und bestimmte Punkte wie Fragen der Qualität, Informationssicherheit und Umweltsicherheit hervorheben. Auf diese Weise kann man eine allumfassende Sicht des gesamten Geschäftsbetriebs mit allen Einzelaktivitäten erhalten.

Das Organisationshandbuch enthält unter anderem die Firmenpolitik und Arbeitsverfahren und -prozesse. Das ist der Grund, warum Risk Management Studio® einen Rahmen für Arbeitsverfahren, Prozesse und Politiken zur Sicherung Ihrer Informationen bietet.