Etter at virksomheten har vurdert og besluttet at en informasjonsmengde skal sikkerhetsgraderes, så er det siste steget i verdivurderingsprosessen å sørge for at beslutningen kommuniseres til brukerne av informasjonen, eksempelvis ved å merke informasjonen med korrekt sikkerhetsgrad.

For å forenkle håndtering, gjenbruk og beskyttelse av sikkerhetsgradert informasjon skal merkingen, så langt det er praktisk mulig, vise hvilke deler av en informasjonsmengde som har hvilken sikkerhetsgrad eller ingen sikkerhetsgrad. Det fullstendige dokumentet eller lagringsmediet skal graderes med minst den høyeste sikkerhetsgrad som er benyttet i dokumentet eller lagringsmediet.

Utforming og plassering av merking utdypes i NSMs veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon.

Virksomheten må gjennomføre de forebyggende sikkerhetstiltakene som må til for å oppnå forsvarlig sikkerhetsnivå for den spesifikke informasjonsmengden, samt alle andre skjermingsverdige verdier virksomheten råder over. Vurderinger og tiltak for forsvarlig sikkerhetsnivå omhandles i NSMs øvrige veiledere, håndbøker og tekniske råd. Foruten omgradering (omtalt i verdivurderingsveilederen) er det to forhold som kan følge i etterkant av beslutning om original sikkerhetsgradering, men som samtidig tilhører verdivurderingdisiplinen; reduksjon av skadepotensial, og utarbeidelse av retningslinjer for sikkerhetsgradering.

Reduksjon av skadepotensial
Virksomheten kan ha behov for å redusere skadepotensialet til opplysninger den har tilvirket. Dette kan være nødvendig dersom det er behov for å gjøre tilgjengelig eller distribuere hovedinnholdet i en informasjonsmengde, men at dette vanskeliggjøres ved at mulighetene for å beskytte denne ikke finnes i tilstrekkelig grad. Redusert skadepotensial kan oppnås gjennom tilsløring (anonymisering, noen ganger omtalt som sanitisering), fjerning eller reduksjon av presisjonsnivå eller annen omskriving av opplysningene. Virksomheten må være særlig påpasselig med å sørge for at man oppnår en faktisk reduksjon av skadepotensial.

Utarbeidelse av retningslinjer for sikkerhetsgradering
Virksomhetens leder skal fastsette et styringsdokument som blant annet beskriver prinsipper for virksomhetens sikkerhetsarbeid (VF § 4, bokstav c). Virksomhetsinterne retningslinjer for sikkerhetsgradering av informasjon kan være en del av virksomhetens sikkerhetsprinsipper. Slike retningslinjer kan utformes som registre som inneholder virksomhetens beslutninger om sikkerhetsgradering av opplysninger som virksomheten har tilvirket. Hensikten er å ha kontroll over og kommunisere graderingsbestemmelser på en måte som legger til rette for at virksomhetens personell er konsekvente i anvendelsen av sikkerhetsgradering. Retningslinjene kan utvikles og vedlikeholdes løpende, etter hvert som det besluttes å sikkerhetsgradere nye typer opplysninger som virksomheten tilvirker. Alternativt kan virksomheten etablere spesifikke registre i forbindelse med etableringen av et nytt prosjekt, utføringen av en ny oppgave, eller oppsettet av et nytt system. For mange virksomheter kan egne retningslinjer for sikkerhetsgradering være et godt tiltak for å sørge for effektiv og konsekvent sikkerhetsgradering av informasjon som tilvirkes.

Gode registre vil hjelpe personellet med å fatte korrekte beslutninger om sikkerhetsgradering, effektivisere samarbeid og informasjonsdeling, og hjelpe med å beslutte hvilket informasjonssystem som skal benyttes i tilvirkningen av informasjonen. Gevinsten er redusert risiko for feilgradering. Retningslinjer er et hjelpemiddel, og ikke en erstatning av de individuelle verdivurderingene. Den som verdivurderer må fortsatt gjøre selvstendige vurderinger, men kan bruke retningslinjene som støtte til å fatte riktig beslutning om sikkerhetsgradering. I Tabell 1 følger et eksempel på et enkelt register.

Tabell 1 Register for sikkerhetsgradering av informasjon om Øvelse Panserbrett

Tabell 1 Register for sikkerhetsgradering av informasjon om Øvelse Panserbrett

Virksomheten kan utforme registre og oversikter slik den finner det hensiktsmessig. Nedenfor er forslag til noen rader som kan benyttes:

  • Opprettelsesdato og/eller revisjonsdato
  • Kontaktinformasjon ved spørsmål til retningslinjene
  • Grunnlag for sikkerhetsgrad
  • Dato/år for avgradering
  • Dato/år for revidering
  • Merknader ved spesielle/særskilte håndteringsforbehold
  • Merknader om hvem informasjonen kan deles med