Informations- und IT-Sicherheit sind keine “Einmal-Aktion”, daher sind Verfahren und Prozesse zu implementieren, die das Sicherheitsniveau feststellen und nachweisen. Damit die Basis abgesichert ist und die Grundlage für die kontinuierliche Verbesserung geschaffen wird.
Dazu helfen Complianceprüfungen durch externe Dienstleistungen und zyklische Security-Scans mit Tools. Auf dem Markt stehen Angebote bereit, die sinnvoll in die Sicherheitsstrategie eingepasst werden sollten. Wenn die Strategie steht sollte es zur Toolauswahl gehen, dabei steht auch die “Make or buy”-Entscheidung an.