Mit der massiven Verbreitung der Informationstechnologie in den Unternehmen und in privaten Haushalten Mitte der 90-er Jahre, begann alsbald die Diskussion um deren Absicherung mittels IT/Inf.-Sicherheitskonzepten. Inzwischen haben sich im Bereich der Unternehmensabsicherung (Enterprise Security) weltweit Management Systeme, gemäß dem Deming Zyklus - gegenüber den anfänglich verwendeten Policies - durchgesetzt, um IT/Inf.-Sicherheitskonzepte zu erstellen. Es handelt sich um standardisierte, risikoorientierte Management Systeme wie z.B. dem ISMS (Information Security Management System) gemäß ISO 27001 und dem BCMS (Business Continuity Management System) gemäß BS 25999 oder auch dem ITSMS (Information Technology Service Management System) gemäß ISO 20000. Es werden in diesem Beitrag die Einsatzmöglichkeiten von Policies gegenüber Management Systemen diskutiert und eine Zuordnung hinsichtlich ihrer Anwendbarkeit bzgl. des zu betrachtenden Systems vorgenommen. Ferner wird gezeigt wie die formale Beschreibung von Sicherheitsmanagement Systemen mittels der Systemtheorie zur Entwicklung von IT/Inf.-Sicherheitskonzepten vorgenommen werden kann. Am Beispiel des Infektionsweges des Stuxxnet Virus wird der Einsatz von spieltheoretischen Überlegungen zur Ergänzung von Sicherheitskonzepten diskutiert. Systemtheorie, Policies, ISMS, BCMS, ITSM, Diskrete Event Systeme (DES)