Merksatz:
"Eine IT-Infrastruktur gilt als sicher, d.h. die IT-Sicherheit als gegeben, wenn die Risiken, die beim Betrieb der IT-Infrastruktur aufgrund von Bedrohungen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind. "
Auf der Grundlage des Merksatzes sind folgende Punkte zu bearbeiten:
•Durchführen einer Bedrohungs- und Risikoanalyse
•Wertebestand der Firma ermitteln (Was ist schützenswert?)
•Anzahl der Sicherheitslücken und Schwachstellen erkennen und reduzieren
•System und Infrastruktur absichern
•Sicherheitsrichtlinien entwickeln, implementieren und durchsetzen
•Standard für Systemkonfiguration entwickeln, implementieren und durchsetzen
•Administratoren, Manager und Entwickler in der Informationssicherheit schulen
•Problemreaktionsmodell (IR, Incident Response) implementieren
•Programme zur Identifikation von Bedrohungen implementieren
•Programme zur Selbstüberwachung implementieren
•Sicherheitssystem auf dem neuesten Stand halten und permanent dazulernen