Bei der Südwestfalen-IT und ihrer Tochter SIT GmbH ist ein ISMS implementiert und teilweise auch nach ISO 27001 auf Basis von IT-Grundschutz des BSI zertifiziert (Zertifikatsnummer BSI-IGZ-0419-2022). Bei den Verbandsmitgliedern ist oftmals noch kein explizites/formales ISMS implementiert. Die Verantwortung der Daten- und Informationsverarbeitung sowie deren Sicherheit obliegt dem jeweiligen Verbandsmitglied. Nach Abschluss des Projekts liegen die Rahmenbedingungen für ein auf einem gemeinsam harmonisierten Grundverständnis basierenden ISMS bei der Südwestfalen-IT und allen Verbandsmitgliedern sowie der SIT GmbH vor. Damit soll die organisatorische Grundlage für eine Durchgängigkeit des ISMS im Verband geschaffen werden. Hierzu wird das Projekt in drei aufeinander aufbauende Phasen unterteilt. Phase 1: Das Vorgehen zur Schaffung einer verbandsweiten ISMS-Struktur sieht in einer ersten Phase vor, dass die wesentlichen Rahmenbedingungen und die daraus abgeleiteten Dokumente für ein ISMS zu einem Verbandsmuster durch den Auftragnehmer aufbereitet werden. Hinsichtlich des BSI IT-Grundschutzes ist insbesondere herauszuarbeiten, an welchen Stellen sich bei den individuellen sicherheitsrelevanten Themen, Technologien sowie Hard- und Softwareprodukten die Leistungen und Zuständigkeiten zwischen den Verbandsmitgliedern, der Südwestfalen-IT und der SIT GmbH voneinander abgrenzen. Aus dem Projekt heraus ist keine Zertifizierung des BSI IT-Grundschutzes der Verbandsmitglieder vorgesehen. Gleichwohl sollen die Grundlagen dafür geschaffen werden, sodass die Musterdokumente unmittelbar für eine mögliche Zertifizierung nutzbar sind. Phase 2: Da die konkrete Implementierung eines Musters für ein ISMS in einer Verwaltung mindestens Interpretationsbedarf, häufig aber auch Anpassungsbedarf mit sich bringt, ist eine zweite Projektphase der individuellen Unterstützung der Verbandsmitglieder vorgesehen. In dieser Phase wird der Auftragnehmer für die Verbandsmitglieder individuelle Workshops organisieren und durchführen, die ein gezieltes Anpassen der in der ersten Phase vorbereiteten Grundlagen und Dokumente an die lokalen und individuellen Gegebenheiten des jeweiligen Verbandsmitglieds ermöglichen sollen. Phase 3: Die Südwestfalen-IT und die SIT GmbH sind mit dem Aufbau bzw. Ausbau eines zertifizierungs-fähigen IT-Grundschutzes auf Basis des IT-Grundschutzes des BSI für weitere Zweckverbands- und Unternehmensteile befasst bzw. beabsichtigen, dies in der Laufzeit des Vertrages vorzubereiten. Der Auftragnehmer wird im Falle eines entsprechenden Abrufs die Südwestfalen-IT und ihrer Tochtergesellschaft (SIT GmbH), nicht jedoch die Verbandsmitglieder, auf die (Weiter-)Zertifizierung nach BSI IT-Grundschutz, beispielsweise durch die Unterstützung der Definition des Informationsverbundes und einschlägiger BSI-Bausteine, vorbereiten.