Ziel: Sicherstellen, dass alle relevanten Informationswerte und zugehörigen Assets bekannt, dokumentiert und kontrolliert sind – als Grundlage für effektive Sicherheitsmaßnahmen und Risikobehandlung.

Ziel: Sicherstellen, dass Informationssicherheitsanforderungen in allen Phasen von Projekten berücksichtigt werden, unabhängig vom Typ oder Umfang des Projekts (z. B. IT-Projekte, Geschäftstransformation, Produktentwicklung, Migrationsprojekte).

Ziel: Sicherstellen, dass die Organisation Informationen über aktuelle, relevante Bedrohungen (z. B. neue Schwachstellen, Angriffsmethoden, Bedrohungsakteure) systematisch sammelt, bewertet und nutzt, um Risiken zu minimieren.

Ziel: Sicherstellen, dass die Organisation Zugang zu aktuellen Informationen, Best Practices, Bedrohungslagen und Unterstützung durch die Teilnahme an relevanten Fachgruppen hat.

Ziel: Sicherstellen, dass die Organisation effektiv mit Behörden kommunizieren kann, insbesondere im Zusammenhang mit Sicherheitsvorfällen, gesetzlichen Verpflichtungen, Audits oder Ermittlungen.

Ziel: Sicherstellen, dass das Management Führungsverantwortung für die Informationssicherheit übernimmt, die Relevanz des Themas anerkennt und eine Kultur der Sicherheit durch Vorbildfunktion und klare Kommunikation fördert.

Ziel: Sicherstellen, dass kritische Aufgaben nicht von einer einzelnen Person allein durchgeführt oder kontrolliert werden können, um Missbrauch, Betrug oder unbeabsichtigte Fehler zu verhindern.

Ziel: Sicherstellen, dass Informationssicherheitsaufgaben, -verantwortlichkeiten und -befugnisse eindeutig definiert und zugewiesen sind und dass alle Beteiligten ihre Rolle verstehen.

Ziel: Sicherstellen, dass Richtlinien zur Informationssicherheit festgelegt werden, die relevante Anforderungen abdecken und mit der strategischen Ausrichtung der Organisation übereinstimmen.

Dieser Baustein beschreibt, wie ein Kryptokonzept erstellt werden sollte und wie damit Informationen in Institutionen kryptografisch abgesichert werden können.