In Banken und Großunternehmen setzt sich seit Jahren das Modell der Drei Verteidigungslinien durch – TLoD-Model – Three Lines of Defence-Model. Die Bereiche, die betrieblich Anforderungen umsetzen, sind darin die Erste Verteidigungslinie. Dazu gehören regelmäßig Personal, Gebäude- und Providermanagement, und der IT-Betrieb.
Die Vorgaben aus dem ISMS werden im IT-Betrieb in konkrete Vorgaben und Maßnahmen umgesetzt.