Die beiden Begriffe Informations- und IT-Sicherheit werden in der Praxis oftmals vereint. Streng genommen muss man diese beiden Themenkomplexe jedoch differenziert betrachten. Die IT-Sicherheit umfasst Tätigkeiten, die vorrangig und operativ von der IT-Abteilung umgesetzt werden. Implementierung von Verschlüsselungsverfahren, Umsetzung technischer Maßnahmen zum Schutz vor Schadsoftware oder auch die Durchführung von Penetrationstests zur Aufdeckung von Schwachstellen in der eigenen IT-Infrastruktur seien hier genannt. Dies sind beispielhafte Tätigkeiten, um die IT-Sicherheit in Ihrem Unternehmen auf ein angemessenes Niveau zu heben und auch Bestandteil beim Aufbau eines ISMS sind.
Informationssicherheit hingegen trifft nicht nur die IT-Abteilung, sondern muss initial von der Unternehmensleitung und allen anderen Unternehmensbereichen umgesetzt werden. Nur wenn das Management hinter diesem Projekt steht, kann ein ISMS mit den notwendigen zeitlichen, finanziellen und vor allem personellen Ressourcen erfolgreich umgesetzt werden. In Unternehmen bedürfen nicht nur IT-Systeme besonderen Schutzes vor Angriffen, sondern auch alle anderen Informationswerte im Unternehmen. Unterlagen in Papierform, Prozesse oder die regelmäßige Schulung von Mitarbeitern sind nur Beispieltätigkeiten, die es umzusetzen gilt.