1 If the protection needs analysis discloses an increased need for protection, the administrative units, in addition to implementing the security directives on basic protection and based on a risk analysis, shall devise further security measures and document and implement the same.
2 The administrative units shall identify risks that cannot be reduced or can only be insufficiently reduced (residual risks), and document the same. The project client or the business process owner and the head of the administrative unit shall take note of the residual risks and confirm the same in writing.
3 The head of the administrative unit concerned shall decide whether known residual risks are accepted.
1 Ergibt die Schutzbedarfsanalyse einen erhöhten Schutzbedarf, so definieren die Verwaltungseinheiten, zusätzlich zur Umsetzung der Sicherheitsvorgaben für den Grundschutz und basierend auf einer Risikoanalyse, weitere Sicherheitsmassahmen, dokumentieren diese und setzen sie um.
2 Die Verwaltungseinheiten weisen Risiken aus, die nicht oder nur ungenügend reduziert werden können (Restrisiken), und dokumentieren diese. Die Projektauftraggeberin oder der Projektauftraggeber, die oder der Geschäftsprozessverantwortliche sowie die Leitung der Verwaltungseinheit nehmen die Restrisiken zur Kenntnis und bestätigen dies schriftlich.
3 Der Entscheid darüber, ob bekannte Restrisiken in Kauf genommen werden, obliegt der Leiterin oder dem Leiter der zuständigen Verwaltungseinheit.
This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.