Grundsätzlich gilt es festzustellen, ob die Risiken für die Informationssicherheit systematisch identifiziert sind. Das beinhaltet u.a. auch, dass nur autorisierte Personen Zugang zu Informationen haben und nur autorisierte Nutzer auf Informationen und Systeme zugreifen, wenn diese benötigt werden. Außerdem müssen Voraussetzungen geschaffen sein, dass Informationen genau, vollständig und richtig verarbeitet werden.