1 Si l’analyse révèle des besoins de protection accrus, les unités administratives définissent, en plus de la mise en œuvre des directives en matière de sécurité relevant de la protection de base, d’autres mesures de sécurité sur la base d’une analyse des risques, documentent ces mesures et les mettent en œuvre.
2 Les unités administratives mettent en évidence les risques qui ne peuvent être réduits ou qui ne peuvent l’être que de manière insuffisante (risques résiduels) et documentent ces risques. Le mandant du projet, le responsable du processus d’affaires et le responsable de l’unité administrative prennent connaissance des risques résiduels et confirment par écrit qu’ils l’ont fait.
3 La décision d’assumer ou non les risques résiduels connus appartient au responsable de l’unité administrative compétente.
1 If the protection needs analysis discloses an increased need for protection, the administrative units, in addition to implementing the security directives on basic protection and based on a risk analysis, shall devise further security measures and document and implement the same.
2 The administrative units shall identify risks that cannot be reduced or can only be insufficiently reduced (residual risks), and document the same. The project client or the business process owner and the head of the administrative unit shall take note of the residual risks and confirm the same in writing.
3 The head of the administrative unit concerned shall decide whether known residual risks are accepted.
Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.
This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.