In vielen Unternehmen wird das Thema Informationssicherheit nur nachrangig behandelt. Gründe dafür können sein: Bei Unternehmen, die IT nicht als ihr Kerngeschäft verstehen, dass die Bedeutung der IT nicht hinreichend erkannt und daher nicht richtig bewertet wird. Und bei Unternehmen, die IT als Kerngeschäft betreiben oft der hohe Druck der Produktionsverpflichtung, so dass kaum Ressourcen für die lästige Pflicht der Informationssicherheit verfügbar sind. Im Rahmen dieser Arbeit soll ein Verfahren als theoretische Grundlage für ein Analyseverfahren auf Basis bestehender Normen und Standards definiert wer-den. Es wird geprüft, ob es möglich ist, aus verschiedenen Standards und Vorgehensmodellen ein mehrdimensionales Verfahren zu entwickeln. Dieses Verfahren als theoretische Beschreibung eines Audit-Werkzeugs ist damit die Grundlage für eine zielgerichtete und kostengünstige Einführung von Informa-tionssicherheitssystemen und prozessen in Unternehmen unterschiedlicher Größe und Ausrichtung.