Wichtig: Um ein ISMS einzuführen, muss zuerst ein Informationssicherheitsbeauftragter (ISB) bestellt werden. Eine gesetzliche Regelung für die ISB-Ausbildung gibt es nicht. Die einzige Voraussetzung: Der ISB sollte über Fachkenntnisse und entsprechende Zuverlässigkeit verfügen. Führungskompetenzen werden dabei gerne gesehen.
Wenn ein Unternehmen die ISO/IEC 27001 Zertifizierung anstrebt, muss der ISB zuerst ein Informationssicherheitssystem (ISMS) entwickelt haben. Nur wenn der ISB das ISMS entsprechend optimiert und ausbaut, kann später auch die ISO/IEC 27001 Zertifizierung erfolgen.