In der zweiten ISIS12 Phase Aufbau- und Ablauforganisation, also noch vor der eigentlichen Implementierung der Sicherheitskonzeption, werden dafür notwendige Vorarbeiten erledigt. Ohne diese Vorarbeiten besteht die Gefahr, dass die Kernaufgabe der Phase 3 nur mit ständigen Unterbrechungen erledigt werden kann, da zunächst erst eine aktuelle IT-Dokumentation erstellt werden muss. Langjährige Projekterfahrungen untermauern dies. Dies hätte eine Verzögerung des Projektverlaufes zur Folge. Zudem ist die Etablierung eines Änderungsprozesses vor der Etablierung einer Sicherheitskonzeption unabdingbar, damit Änderungen während der operativen Phase 3 lückenlos erfasst und verarbeitet werden können.
Schritt 3: Informationssicherheitsteam aufbauen
Die Zusammensetzung, die Aufgaben und Pflichten des Informationssicherheitsteams als Aufbauorganisation werden in diesem Schritt festgelegt. Die zentrale Rolle übernimmt dabei der Informationssicherheitsbeauftragte (ISB), der für die Einführung, Betrieb und Weiterentwicklung des Sicherheitsprozesses verantwortlich ist. Er ist in seiner Funktion als ISB direkt an der Unternehmensleitung unterstellt und berichtet an diese direkt. Bei kleineren Organisationen wird die Rolle des ISB in der Regel als Teilzeitrolle ausgeübt. Der dafür vorgesehen Zeitanteil variiert je nach Größe der Organisation. Weitere Mitglieder dieses Teams können sein: der Datenschutzbeauftragte, der QM-Beauftragte, Mitarbeiter aus dem IT-Bereich und externe Sicherheitsberater. Die Teammitglieder werden in dieser Phase mit der Methodik des Vorgehensmodells vertraut gemacht.
Schritt 4: IT-Dokumentationsstruktur
Für eine Sicherheitskonzeption ist die Struktur und Aktualität der IT-Dokumentation eine wesentliche Voraussetzung. Neben der Struktur werden for-male Festlegungen, wie etwa einheitliche Dokumenteninformationen und verbindliche Rahmendokumente als Basis für das IT-Betriebshandbuch und das IT-Notfallhandbuch erarbeitet.
Falls in der Organisation bereits ein QM-System etabliert ist wird das dort vorhandene System zur „Lenkung von Dokumenten und Aufzeichnungen“ für das ISMS adaptiert. Wenn dies nicht der Fall ist, wird mit Vorlagen ein entsprechendes System entwickelt, um in Form einer Dokumentenpyramide ein verbindliches Regelwerk etablieren zu können.
Schritt 5: IT-Service Management Prozesse
Im Rahmen des Vorgehensmodells werden drei generische IT-Service Managementprozesse eingeführt: Wartungs-, Änderungs- und Störungsbeseitigungsprozess. Dazu werden generische Musterprozessbeschreibungen zur Verfügung gestellt. Mit diesen Basisprozessen kann ein geregeltes ITSM realisiert werden. Dazu wird ein Ticket-System mit integrierter „Configuration Management Data Base“ (CMDB) eingeführt, in der u. a. die Anforderungen und Beschreibungen der IT-Systeme und Infrastruktur dann aus Schritt 7 in Form eines Service-Katalogs (MTA, SLA) eingetragen werden.