Sikkerhetsloven stiller krav om at skjermingsverdige informasjonssystem skal godkjennes. Informasjonssystemer som skal behandle sikkerhetsgradert informasjon skal være godkjent før det tas i bruk til behandling, lagring eller transport av gradert informasjon.

Godkjenning

Godkjenningsprosessen er en kvalitetssikring

Godkjenningsprosessen skal være en kvalitetssikring av at virksomheten som tar systemet i bruk har relevante prosesser på plass for å sikre forsvarlig sikkerhet i tråd med sikkerhetsloven. Prosessen kan i seg selv også bidra til at brukere og samarbeidspartnere kan ha tillit til at informasjon som behandles er forsvarlig sikret. Godkjenningsprosessen er dessuten en viktig bidragsyter til en sikkerhetsmessig bevisstgjøring av personell som er involvert i utvikling og anskaffelse av systemet.

En godkjenning av et informasjonssystem er en formell avgjørelse om at informasjonssystemet kan tas i bruk til å behandle skjermingsverdig informasjon. Denne avgjørelsen blir tatt av godkjenningsansvarlig. Godkjenningsansvarlig er enten virksomheten selv eller NSM. Hvem som godkjenner er avhengig av graderingsnivå og kompleksiteten til systemet. 

For å godkjenne et informasjonssystem må godkjenningsansvarlig ta stilling til om det er dokumentert at virksomheten har oppnådd forsvarlig sikkerhetsnivå ved at risiko er vurdert og håndtert.

Grunnlag for godkjenning

Grunnlaget for godkjenningen skal være den samme enten det er virksomheten selv eller NSM som foretar godkjenningen.

Godkjenningen skal bestå av en planlagt og systematisk gjennomgang for å skape tillit til at sikkerhetsnivået for et informasjonssystem er forsvarlig. Godkjenningen må derfor omfatte undersøkelser av hvorvidt og hvordan risiko for uønskede hendelser er vurdert og håndtert til akseptabelt nivå.

Prosessen starter med at virksomheten setter i gang arbeidet med den dokumentasjonen som er nødvendig for å kunne ta stilling til om informasjonssystemet har et forsvarlig sikkerhetsnivå. Regelverket stiller ingen krav til spesifikke dokumenter som skal utarbeides, men til hva de må inneholde av informasjon. Kjerneinformasjonen er:

  • Beskrivelse av informasjonssystemets funksjon og operative miljø
  • Beskrivelse av behov for beskyttelse (verdivurdering, trusselvurdering og skadevurdering)
  • Beskrivelse av fastsatte sikkerhetskrav
  • Beskrivelse av etablerte sikkerhetskrav gjennom hele systemets levetid
  • Beskrivelse av gjennomført kontroll av at sikkerhetstiltak fungerer

Når NSM foretar en godkjenning av et informasjonssystem er dette en forhåndskontroll av at virksomheten som tar systemet i bruk har sørget for forsvarlig sikkerhet. Denne kontrollen vil i all hovedsak bestå av en gjennomlesing av dokumenter som er utarbeidet som dokumentasjon på sikkerhetsarbeidet.

Som et virkemiddel for å sikre etterlevelse av sikkerhetsloven kan NSM også foreta en etterkontroll av at en virksomhet faktisk har iverksatt de sikkerhetstiltakene som er dokumentert i forbindelse med godkjenningen. Slik etterkontroll kalles også for tilsyn.

Flere detaljer om godkjenningsprosessen kan du lese i NSMs veileder for godkjenning av skjermingsverdige informasjonssystemer.