Vie­le Ver­wal­tun­gen glau­ben, ein ein­zi­ges Infor­ma­ti­ons­si­cher­heits­kon­zept rei­che aus – am bes­ten gleich als „ISMS light“ mit einer TOM-Check­lis­te. Doch Art. 43 Bay­DiG spricht bewusst im Plu­ral von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten. Der Grund: Infor­ma­ti­ons­si­cher­heit braucht Struk­tur, Ver­ant­wort­lich­kei­ten und meh­re­re Teil­kon­zep­te für die wich­ti­gen Ver­fah­ren, Sys­te­me und Pro­zes­se. Erst das ISMS bil­det die Klam­mer, die die­se Kon­zep­te zusam­men­hält und im PDCA-Zyklus aktu­ell hält. War­um der „Short­cut“ nicht funk­tio­niert und was Behör­den statt­des­sen wirk­lich brau­chen, erklärt die­ser Bei­trag.