4.1 Risikoanalyse

Im Rahmen einer Risikoanalyse sind mögliche Schäden zu der von einer Ressource ausgehenden Gefahr anhand der Eintrittswahrscheinlichkeit und des Schadensausmaßes systematisch einzuschätzen. Auf dieser Basis ist die Akzeptanz der Risiken zu bewerten und es sind Entscheidungen zur Risikobehandlung zu treffen. Die Risikoanalyse hat neben technischen insbesondere auch personelle, organisatorische und bauliche Aspekte zu betrachten. Das nach der Maßnahmenumsetzung verbleibende Risiko ist zu dokumentieren und durch die Behördenleitung zu verantworten.

4.2 Angemessenheit von Sicherheitsmaßnahmen

Finanzieller und organisatorischer Aufwand von Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum verfolgten Ziel stehen. Dem Gebot der Wirtschaftlichkeit und Sparsamkeit ist Rechnung zu tragen.

4.3 Ressourcen für Informationssicherheit

Informationssicherheit ist eine qualitative Eigenschaft der Services, der Fachverfahren und der sonstigen Verwaltungsaufgaben einer Behörde. Dafür sind die notwendigen personellen Ressourcen und Sachmittel bereit zu stellen.