Die Verbreitung des internationalen Standards ISO/IEC 27001 wird zweifelsohne in den kommenden Jahren weiter zunehmen. Da Informationen ein sehr wichtiger Produktionsfaktor sind, ist eine stetig steigende Aufmerksamkeit bezüglich Informationssicherheit und Know-how-Schutz zu erkennen. Es gilt daher Effektivität und Angemessenheit des IT-Risikomanagements fortlaufend zu überprüfen. Aufgrund gesetzlicher und regulatorischer Anforderungen, wie z.B. Datenschutz, Wirtschaftsprüfungen oder KonTraG, und auch wegen steigender Kundenanforderungen werden sich die Themen IT-Risiko- und Informationssicherheits-Management auch auf den Mittelstand ausweiten - und zwar unabhängig vom betrachteten Wirtschaftssektor. Da Risikomanagement neben Identifikation und Bewertung von Risiken auch immer eine adäquate und effiziente Maßnahmenauswahl verlangt, bedarf es verlässlicher Entscheidungsgrundlagen und Werkzeuge mit deren Hilfe die momentanen Stärken und Schwächen aufgezeigt werden. Der hier verfolgte best practice Ansatz für ein ISMS wurde speziell für mittelständische Unternehmen entwickelt und unterstützt IT-Verantwortliche bei der frühzeitigen Identifikation und Behandlung bestehender IT-Risiken.