Wie das in euer Sicherheitskonzept passt und ob man das Informationssicherheitssicht so überhaupt machen sollte liegt nicht in meiner Beurteilungsgewalt.

Das "Sicerheitskonzept" heisst "alle dürfen alles", d.h. es gibt keins. Man hat halt nur Probleme mit dem vom MS angebotenen Sicherheits-Frameword.