In einem Unternehmen stellen Informationen einen Vermögensgegenstand dar, der geschützt werden muss. Die Integrität, Verfügbarkeit und Vertraulichkeit dieser Informationen gehört daher zu den höchsten Unternehmenszielen. Dies bezieht sich auf alle Informationen, die innerhalb eines Unternehmens ausgetauscht werden – unabhängig davon auf welchem Weg dies geschieht. Informationssicherheits-Management stellt daher einen umfassenden Ansatz dar, diese Vermögensgegenstände systematisch gegen Missbrauch zu schützen. Es gilt daher, neben der Sicherheitstechnik auch die Prozesse im Unternehmen auf ihre Informationssicherheit zu prüfen. Dabei kommt der Leitungsebene eine besondere Verantwortung zu, denn sie ist verantwortlich dafür, dass im Unternehmen gesetzliche Regelungen und Verträge mit Dritten eingehalten werden sowie wichtige Geschäftsprozesse störungsfrei ablaufen. Zudem obliegt ihr der wirtschaftlich sinnvolle Einsatz aller dem Unternehmen zur Verfügung stehenden Ressourcen.
