Ein gesteuerter Sicherheitsprozess (Deming-Kreis: Plan-Do-Check-Act) sichert die umfassende Informationssicherheit. Das öffentliche Organ initiiert diesen Vorgang durch die Übernahme der Verantwortung, die Einrichtung einer geeigneten Informationssicherheitsorganisation und die Delegation von Zuständigkeiten. Das Ergebnis der ersten Phase ist die Leitlinie zur Informationssicherheit, die von der Leitung allen Beschäftigten bekannt gegeben wird. Es folgen die Erarbeitung der Informationssicherheitsziele und die Analysen zum Ist-Zustand der IT und zur angestrebten Informationssicherheit, die in einem Informationssicherheitskonzept zusammengefasst werden. Fortgesetzt wird der Informationssicherheitsprozess in Phasen der Umsetzung noch fehlender Sicherheitsmassnahmen und Massnahmen zur Aufrechterhaltung und Verbesserung der Informationssicherheit.