Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig. Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht.

Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden. Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden.

Zur Vorbereitung einer Managemententscheidung über die Einführung von Sicherheitsmaßnahmen sollten Sie

• einen Vorschlag für die Verteilung des Budgets erarbeiten,
• kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt,
• die Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen entstehen, dem Management bewusst machen (als Argumentationshilfe können Sie die Kreuzreferenztabellen verwenden, die Sie am Ende eines jeden IT-Grundschutz-Bausteins finden und in denen dargestellt ist, gegen welche Gefährdungen eine Anforderung gerichtet ist) und
• dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen.

Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist. Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden.