Einen Begriff, den ich in dieser Diskussion vermisse, ist der IT-Grundschutz gem. BSI. Zumindest für Bundesbehörden ist es obligatorisch, dass diese sich diesem (in Audits und Folgeaktivitäten) unterziehen. Und dabei geht es nicht nur um "harte" Technik, Rechenzentren, etc., sondern eben auch um das ganze Umfeld von Organisation, Prozessen und Software.
