Es lässt sich ja aktuell ganz gut beobachten wo diese prozessbasierten Managementsysteme implementiert sind und funktionieren. Und wo dies nicht der Fall ist...
Du kannst doch schon an den Aussagen erkennen ["Mich erreichen eigentlich täglich Anfragen der Beschäftigten, vor allem Weiterleitungen von E-Mails, bei denen sich die Leute nicht sicher sind, ob Sie Anhänge öffnen oder Links anklicken können."], dass hier (wahrscheinlich auf kommunaler Ebene) irgendwer "diese Informationssicherheit" machen soll. Viel weiter von einem prozessbasierten ISMS kannst du kaum noch entfernt sein. Hier ist der "ISB" wahrscheinlich gleichzeitig "DSB" und "1-st Levelsupporter".