Ob eine Institution ein gutes ISMS einführt und kontinuierlich weiterentwickelt, hängt im wesentlichen davon ab, wie die oberste Leitungsebene ihre Aufgaben und ihre Verantwortung wahrnimmt. Dies sind ihre wichtigsten Pflichten

• Sie kennt die Risiken bei Verletzung der Informationssicherheit, setzt einen Rahmen und trifft die grundlegenden Entscheidungen zum Umgang mit diesen Risiken.
• Sie initiiert, steuert und kontrolliert den Sicherheitsprozess und sorgt dafür, dass Informationssicherheit sich in alle Prozesse und Projekte der Institution integriert.
• Sie stellt erforderliche Ressourcen (Personal, Budget, Zeit) für das Sicherheitsmanagement bereit und wägt Aufwände und Ertrag ab.
• Sie wirkt durch ihr sicherheitsgemäßes Verhalten als Vorbild.

Die oberste Leitungsebene trägt die Gesamtverantwortung für ein angemessenes ISMS. Auch wenn sie operative Aufgaben delegiert und die Mitarbeiter zu sicherheitsbewusstem Verhalten anhält, entbindet sie dies nicht von der Gesamtverantwortung.

Ist Ihre Leitung bereit, die genannten Aufgaben und Verantwortlichkeiten zu übernehmen? Falls nicht, ist damit eine grundlegende Voraussetzung für Informationssicherheit nicht erfüllt. Im Baustein ISMS.1 Sicherheitsmanagement des IT-Grundschutz-Kompendiums werden daraus resultierende Gefährdungen dargestellt und wird beschrieben, welche Anforderungen erfüllt sein müssen, um ihnen zu begegnen.