Auf der Basis einer Unternehmensbefragung wurde untersucht, wie Unternehmen ihre Lieferanten und Dienstleister in Hinblick auf Informationssicherheit steuern. Hier scheint vielfach noch Orientierungslosigkeit zu herrschen. Meist sind Vereinbarungen getrieben durch den Datenschutz, selten aber in der Praxis überwacht. Auch Zertifizierungen scheinen nicht das Allheilmittel zu sein. Im Buch wird dargestellt und untersucht, ob und wie die ISO/IEC 27000-Reihe Hilfestellungen in der Praxis bieten kann. Besonders erfolgsversprechend scheint die Anwendung einer "Anforderungs-SoA" (SoA - Statement of Applicability) zu sein, die als Vertragsanlage genutzt werden kann.

Als Projektverantwortlicher für Notrufleitstellen war es eine besondere Herausforderung, Vereinbarung mit Dienstleistern und Lieferanten zu Informationssicherheit zu verhandeln, zu vereinbaren und zu steuern. Uwe Rühl studierte u.a. Sicherheitsmanagement und Risiko und Compliance-Management, in dessen Rahmen diese Arbeit entstand.