Ein Benutzer identifiziert sich im Internet meistens über eine Kombination aus Identifikations- und Authentisierungsdaten, wie z. B. Benutzername und Passwort oder Bank- oder Kreditkarteninformationen. Verschafft sich ein unberechtigter Dritter Zugang zu solchen Daten, so wird von einem Identitätsdiebstahl gesprochen.

Individuelle Datenverarbeitung: End User Computing. Organisationsform der betrieblichen Datenverarbeitung, bei der dem Endbenutzer in der Fachabteilung Computerleistung (Computersystem) an seinem persönlichen Arbeitsplatz zur Verfügung gestellt wird und er v.a. seine aufgabenspezifischen Anwendungen selbst entwickelt und pflegt.

Indicators of Compromise sind technische Informationen, die zur Detektion einer Infektion mit Schadsoftware oder einer anderweitigen Kompromittierung verwendet werden können. Häufig handelt es sich dabei um netzwerkbasierte Signaturen wie Domainnamen von Kontrollservern, oder um hostbasierte Signaturen, die auf den Endgeräten gesucht werden (wie Hashsummen von Schadprogrammen, Einträge in der Windows-Registry, o.ä.).

wird für einen einzelnen Anwender zur Lösung einer spezifischen Aufgabenstellung individuell erstellt, alternativ durch einen Softwareanbieter oder durch eigene Entwickler bzw. Entwicklungsabteilungen eines Unternehmens.

ICS ist ein Oberbegriff für Automatisierungslösungen zur Steuerung technischer Prozesse.

Betriebsmittel, das – wie andere wichtige Betriebsmittel des Unternehmens auch – wesentlich für  das Geschäftsfeld des Unternehmens ist. Informationen können in vielen Formen vorliegen: Sie können auf Papier geschrieben oder gedruckt, elektronisch gespeichert, postalisch oder elektronisch übertragen, in Filmen enthalten oder in Gesprächen ausgetauscht werden.

Eine Lösung, um den Abfluss vertraulicher Informationen besser steuern zu können, sind Tools, die den Datenfluss im Netz und/oder auf Endgeräten kontrollieren. Sie sollen erkennen oder sogar einschreiten, wenn vertrauliche Informationen über unsichere Wege übertragen werden oder in falsche Hände geraten. Als Bezeichnungen für solche Tools werden die Begriffe "Data Loss Prevention" (DLP), "Information Leakage Prevention" (ILP) oder auch "Extrusion Prevention" verwendet, die Ziele und Mechanismen sind jedoch vergleichbar.

Die Gesamtheit der IT-Anteile einer Infrastruktur.

Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.

Ein Informationssicherheitsbeauftragter (kurz IS-Beauftragter oder ISB) ist für die operative Erfüllung der Aufgabe "Informationssicherheit" zuständig. Andere Bezeichnungen sind CISO (Chief Information Security Officer) oder Informationssicherheitsmanager (ISM). Die Rolle des ISB sollte von einer Person mit eigener Fachkompetenz zur Informationssicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde wahrgenommen werden.

Die Planungs-, Lenkungs- und Kontrollaufgabe, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen, wird als Informationssicherheitsmanagement bezeichnet. Dabei handelt es sich um einen kontinuierlichen Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind.

Informationstechnik (IT) umfasst alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen. Zur Verarbeitung von Informationen gehören Erhebung, Erfassung, Nutzung, Speicherung, Übermittlung, programmgesteuerte Verarbeitung, interne Darstellung und die Ausgabe von Informationen.

Ein informationstechnisches System (IT-System) ist eine technische Anlage, die der Informationsverarbeitung dient und eine abgeschlossene Funktionseinheit bildet. Typische IT-Systeme sind Server, Clients, Einzelplatzcomputer, Mobiltelefone, Router, Switches und Sicherheitsgateways.

Personen, die über den Fortschritt einer Aktivität auf dem Laufenden gehalten werden (unidirektiona- le Kommunikation)
Beantwortet in einem RACI-Diagramm die Frage: Wer erhält Informationen?
Rollen, die über die Errungenschaften und/oder Leistungen der Aufgabe informiert werden. Die ver- antwortliche Rolle sollte natürlich geeignete Informationen erhalten, um die Aufgabe überwachen zu können, ebenso wie die zuständigen Rollen in ihrem jeweiligen Interessensbereich.

Unter Infrastruktur werden die für die Informationsverarbeitung und die IT genutzten Gebäude, Räume, Energieversorgung, Klimatisierung und die Verkabelung verstanden. Die IT-Systeme und Netzkoppelelemente gehören nicht dazu.

Neben den klassischen IT-nahen Maßnahmen der IT-Sicherheit (Datensicherung, Zugriffsregelungen, Verschlüsselung u.v.a.m.) spielen die Sicherheit der Energieversorgung, der Schutz vor Brand, eine ausreichende Kühlung, der Schutz vor Zugang/Zugriff von Unbefugten und zahlreiche weitere Aspekte aus dem baulich/technischen aus den Bereichen eine wichtiger Rolle für die Verfügbarkeit der IT. All diese Aspekte sind unter dem Begriff "Infrastruktur-Sicherheit" zusammengefasst.

Viele Applikationen sind für Injection-Angriffe anfällig, wenn Benutzereingaben nicht ausreichend gefiltert werden. Eine SQL-Injection-Schwachstelle gibt einem Angreifer die Möglichkeit, Datenbankabfragen über eine Applikation so zu manipulieren, dass der für den Angreifer interessante Teil einer Datenbank zurückgegeben wird, anstatt des Teils, der ursprünglich für die Anwendung vorgesehen ist. Unter Umständen können durch SQL-Injection auch Änderungen an den Datenbank-Inhalten vorgenommen oder sogar Programmcode ausgeführt werden.

Cyber-Angriffe durch Innentäter haben größere Aussicht auf Erfolg als Angriffe von außen, da der Angreifer bereits Zugang zu internen Ressourcen einer Organisation hat und so Schutzmaßnahmen und Schwachstellen über einen langen Zeitraum analysieren kann. Zusätzliche Vorteile genießen Innentäter durch das ihnen entgegengebrachte Vertrauen einer Organisation. Externe Dienstleister, die durch ihre Tätigkeit Einfluss oder direkten Zugang zur Organisation haben, werden hier ebenfalls zu den Innentätern gezählt.

Die Arbeitsprodukte/Werke des Prozesses, die für die Unterstützung der Prozessanwendung für not- wendig erachtet werden. Sie unterstützen wichtige Entscheidungen, stellen eine Übersicht und einen Prüfpfad der Prozessaktivitäten bereit und ermöglichen die Nachbereitung im Falle einer Störung. Sie sind auf der Ebene der wichtigen Managementpraktiken definiert, können Arbeitsprodukte enthalten, die nur innerhalb des Prozesses verwendet werden, und fungieren häufig als wesentliche Inputs für andere Prozesse. Die illustrativen Inputs und Outputs von COBIT 5 sind nicht als endgültige Liste zu verstehen. Je nach Umgebung und Prozessrahmenwerk des betreffenden Unternehmens können zusätzliche Informationsflüsse definiert werden.

Mit dem Begriff Institution werden Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet.

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

Eine gemeinsame technologische Grenze, die externe und/oder interne Subsysteme verbindet, die in Hardware (z.B. LAN-Schnittstelle) oder Software (z.B. Protokoll-Schnittstelle) implementiert sind.

Die ISO ist eine internationale Vereinigung der Standardisierungsgremien von 151 Ländern. Sie verabschiedet internationale Standards in allen technischen Bereichen. Deutschland ist durch das Deutsche Institut für Normung (DIN) und die USA durch ANSI in der ISO vertreten.

Die ITU ist eine weltweite Organisation, die sich mit technischen Aspekten der Telekommunikation beschäftigt. In ihrem Telecommunication Standardization Bureau (ITU-T) – früher Comité Consultatif International Téléphonique et Télégraphique (CCITT) – werden technische Normen erarbeitet und als Empfehlung veröffentlicht. Von herausragender Bedeutung für die elektronische Signatur ist die Empfehlung X.509, in der u. a. ein weit verbreitetes Format für Zertifikate spezifiziert ist.

"Die Umlage von Aufwendungen auf die Unternehmenseinheiten, die diese verursacht haben.
Hinweis zur Bedeutung: Interne Kostenverrechnung ist deshalb so wichtig, weil die tatsächliche Rentabilität eines Produktes oder eines Service ohne ein solches Verfahren missverständlich erscheinen könnte, da bestimmte wesentliche Aufwendungen ignoriert oder nach einer willkürlichen Formel berechnet werden würden."

Richtlinien, Standards, Pläne, Verfahren und Organisationsstrukturen, die dazu beitragen sollen, dass die Unternehmensziele erreicht und nicht erwünschte Ereignisse verhindert oder erkannt und beseitigt werden.

Eine global vernetzte Netzwerkinfrastruktur, die von der Internet Assigned Numbers Authority (IANA) koordiniert wird.

Eine Verbindung zum Internet und die Möglichkeit einer Vorrichtung, sich über das Internet mit anderen Einheiten zu verbinden.

Ein Dienstanbieter, der Endverbrauchern Internetzugang anbietet.

Die Internet Engineering Task Force (IETF) ist eine große, offene, internationale Gemeinschaft, die sich um den reibungslosen Betrieb und die Weiterentwicklung der Internet-Architektur bemüht. Die in der IETF entwickelten Standards und Empfehlungen werden als Request for Comments (RFC) mit einer bestimmten laufenden Nummer auf der Internetseite der IETF veröffentlicht.

Die Funktionalität eines Internet-Gateways besteht darin, eine Verbindung zur Infrastruktur eines Internet Access Providers (IAP) herzustellen, um dem Endbenutzer einen Internetzugang zu ermöglichen.

IoT steht für Internet of Thing. Dies sind im Gegensatz zu "klassischen" IT-Systemen "intelligente" Gegenstände, die zusätzliche "smarte" Funktionen enthalten. IoT-Geräte werden in der Regel an Datennetze angeschlossen, in vielen Fällen drahtlos, und können sogar oft auf das Internet zugreifen und darüber erreicht werden.

IPsec ist eine von der IETF entwickelte Sicherheitsarchitektur zur Gewährleistung von Authentizität, Integrität und Vertraulichkeit in IP-Netzen. Beispielsweise basiert die Sichere Inter-Netzwerk-Architektur (SINA) auf IPSec.

Ein Intranet ist ein internes Netz, das sich unter vollständiger Kontrolle des Netzbetreibers (also der jeweiligen Behörde oder des Unternehmens) befindet. Meist werden Zugriffe aus anderen Netzen (wie dem Internet) durch eine Firewall abgesichert.

Mit Hilfe von Intrusion-Detection und Intrusion-Prevention Systemen lassen sich Angriffsversuche in einer frühen Phase erkennen, sodass der Administrator rechtzeitig alarmiert (z. B. durch ein IDS) oder bereits eine automatisierte Reaktion auf den Angriff eingeleitet wird (z. B. durch ein IPS).

Gruppe der Investitionen, die in Erwägung gezogen und/oder getätigt werden

In größeren Institutionen ist es sinnvoll, ein IS-Management-Team (häufig auch IT-Sicherheitsmanagement-Team) aufzubauen, das den IT-Sicherheitsbeauftragten unterstützt, beispielsweise indem es übergreifende Maßnahmen in der Gesamtorganisation koordiniert, Informationen zusammenträgt und Kontrollaufgaben durchführt.

Elektronische Funktionalität, die Teile von Geschäftsprozessen darstellt, die durch die IT oder mit deren Unterstützung durchgeführt werden

IT-Grundschutz bezeichnet eine Methodik zum Aufbau eines Sicherheitsmanagementsystems sowie zur Absicherung von Informationsverbünden über Standard-Sicherheitsmaßnahmen. Außerdem wird mit IT-Grundschutz der Zustand bezeichnet, in dem die vom BSI empfohlenen Standard-Sicherheitsmaßnahmen umgesetzt sind, die als Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen, Institutionen mit normalem Schutzbedarf hinreichend absichern.

Zu einer IT-Grundschutzanalyse gehören die Modellierung mit der Ermittlung der notwendigen Sicherheitsanforderungen und der IT-Grundschutz-Check, in dem ein Soll-Ist-Vergleich den aktuellen Umsetzungsgrad von Sicherheitsanforderungen in einem Unternehmen oder einer Behörde beschreibt.

Der Begriff bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz empfohlenen Anforderungen in einer Institution bereits erfüllt sind und welche grundlegenden Sicherheitsanforderungen noch fehlen (früher: Basis-Sicherheitscheck).

Die Bausteine des IT-Grundschutzes sind im IT-Grundschutz-Kompendium zusammengefasst. Es stellt den Nachfolger der bis zur 15. Ergänzungslieferung verfügbaren IT-Grundschutz-Kataloge dar.

Die alltägliche Bereitstellung von IT-Infrastruktur, Anwendungen und Support für Kunden. Dazu zäh- len beispielsweise Service Desks, die Bereitstellung und Umlagerung von Geräten sowie Sicherheits- autorisierungen.

IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind.

Person mit eigener Fachkompetenz zur IT-Sicherheit, die für Aspekte rund um die IT-Sicherheit zuständig ist, in enger Abstimmung mit dem IT-Betrieb. Die Rolle des Verantwortlichen für Informationssicherheit wird je nach Art und Ausrichtung der Institution anders genannt. Im IT-Grundschutz wird die Bezeichnung Informationssicherheitsbeauftrager (ISB) verwendet.

Durch das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz - IT-SiG)" werden insesondere Regelungen zum Schutz der IT-Sicherheit Kritischer Infrastrukturen getroffen. Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze ändert und ergänzt. Für das BSI bedeuten die Änderungen eine Ausstattung mit neuen Aufgaben und Befugnissen, um etwaigen Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen. Artikelgesetz bedeutet, dass durch das Gesetz die Änderung anderer Gesetze bestimmt wird, die eigentlichen Regelungen jedoch in den geänderten Gesetzen bestimmt werden.

IT-Systeme sind technische Anlagen, die der Informationsverarbeitung dienen und eine abgeschlossene Funktionseinheit bilden. Typische IT-Systeme sind Server, Clients, Einzelplatz-Computer, Mobiltelefone, Router, Switches und Sicherheitsgateways.

Erklärung, die ein gewünschtes Ergebnis der Unternehmens-IT beschreibt, das die Erreichung von Unternehmenszielen unterstützen soll. Das Ergebnis kann ein Werk, eine deutliche Veränderung eines Zustands oder eine erhebliche Verbesserung einer Befähigung sein.