4. Umsetzung des Informationssicherheits-Programms

In diesem Abschnitt geht es nun um die Umsetzung, genauer um die Erstellung und Aufrechterhaltung eines Informationssicherheits-Programms (kurz: IS-Programm, engl.: security program). Dabei soll sichergestellt werden, dass ein generelles Verständnis für die vielfältigen Anforderungen und Aktivitäten bei der Realisierung des Sicherheitsprogramms geschaffen wird und damit überhaupt die Voraussetzung entsteht, die Anforderungen aus der Sicherheitsstrategie durch Etablieren des Sicherheitsprogramms in der Organisation umzusetzen. Im Rahmen der Erstellung und Umsetzung des Sicherheitsprogramms, das letztendlich zum Ziel hat, die Risiken im Bereich der IS effektiv und effizient zu managen, sind vielfältige Aufgaben zu erledigen. Dazu gehören unter anderem die Erstellung einer Sicherheitsarchitektur, die Entwicklung von Standards, Arbeitsanweisungen und weiteren Policy-Elementen, die Entwicklung eines IS-Plans, die Entwicklung von Sicherheitstrainings und Awareness-Programmen und die Einführung von Metriken zur Bewertung des Sicherheitsprogramms.