Für das Informatikschutzobjekt muss eine aktuelle und mit den beteiligten LE abgeglichene Dokumentation vorliegen. Dabei muss die Dokumentation die gesamte Lebensdauer («Life Cycle») des Objekts abdecken und insbesondere auch

• die Lieferkette («Supply Chain»),
• die physischen Schutzmassnahmen, wobei die Notwendigkeit von baulichen und technischen Massnahmen zum physischen Schutz von IT-Systemen dort wo erforderlich mit dem BBL, der armasuisse bzw. dem Bundessicherheitsdienst abgeklärt sein muss,
• die sicherheitsrelevanten Komponenten, Funktionen und Einstellungen,
• die Schlüsselverwaltung beim Einsatz kryptografischer Verfahren,
• die Modalitäten und Prozesse bei Änderung (im Rahmen des «Change Managements»), Reparatur, Entsorgung und Verlust,
• die vertraglichen Vereinbarungen, sowie
• die Audit-Prozesse und -Aktivitäten15 zur Kontrolle der Umsetzung und Einhaltung dieser Weisung mit einschliessen.