Das Informationssicherheitskonzept (Realisierung) basiert auf dem Informationssicherheitskonzept (Evaluation) sowie den realisierten Sicherheitsmassnahmen. Es hält die im Hinblick auf die Phase Nutzung zu fordernden und bereits realisierten Sicherheitsmassnahmen fest. Zudem ist ggf. begründet, weswegen einzelne, im Informationssicherheitskonzept (Evaluation) geforderte Sicherheitsmassnahmen fallengelassen wurden.

Indem das Informationssicherheitskonzept (Realisierung) nur Massnahmen fordert, die bereits umgesetzt sind, wird vermieden, dass Forderungen gestellt werden, die sich im Nachhinein als nicht umsetzbar oder als unangemessen erweisen oder die aus anderen Gründen nicht erfüllt werden.