In den letzten Jahren wird immer deutlicher, wie abhängig Unternehmen von Informationen und IT-Systemen sind. Dieses Wissen um die zunehmende Be- deutung von Informationen auf der einen Seite und die immer stärker erkennbare Bedrohung von Informationen durch unterschiedlichste Faktoren (Malware, Soft- warefehler, Sicherheitslücken, Industriespionage u.ä.) führen dazu, dass sich Unternehmen in immer stärkerem Maße darüber Gedanken machen müssen, wie mit Informationen richtig und verantwortungsvoll umzugehen ist. Hierbei ist natürlich auch die immer stärker zunehmende Verwendung des Cloud Computing als ein Ansatzpunkt zu nennen.

Doch nicht nur die Selbsterkenntnis der Unternehmen ist ein treibender Faktor für die immer stärkere Verbreitung von Informationssicherheitsmanagementsystemen (ISMS), sondern es kommen vermehrt auch externe Einflussfaktoren hinzu in Form von Kundenanforderungen, neuen Gesetzen, z.B. das im Juli 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), oder Rechtsvorschriften, wie der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) für Energienetzbetrei- ber vom August 2015.

Die Zielsetzung eines Informationssicherheitsmanagement-systems ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einem angemessenen Rahmen zu schützen, auch unter Berücksichtigung der wirtschaftlichen Gegebenheiten. Dies bietet somit Unternehmen aller Größen und Branchen die Möglichkeit, das für ihre Aktivitäten notwendige Niveau an Schutz zu definieren und umzusetzen.

Die Einführung eines Informationssicherheitsmanagementsystems nach ISO 27001 führt nicht dazu, dass es zu keinen Zwischenfällen oder Problemen beim Umgang mit Informationen und (IT-)Systemen mehr kommen kann, jedoch wird die Wahrscheinlichkeit durch den systematischen Ansatz verringert und die Auswirkungen durch geeignete Maßnahmen reduziert.