Det er virksomheten som tilvirker informasjonen som skal sikkerhetsgradere og merke informasjonen dersom det kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende, jf. SL §5- 3, 1. ledd. Begrepet nasjonale sikkerhetsinteresser er definert i § 1-5 nr. 1. Virksomheten er dermed pliktig å gjennomføre en verdivurdering som grunnlag for en eventuell sikkerhetsgradering av informasjonen.

Informasjon skal fortrinnsvis være gjenstand for løpende verdivurdering under tilvirkingsprosessen, altså underveis i produksjonen av informasjonen. Det vil imidlertid i noen tilfeller være behov for å sikkerhetsgradere tidligere tilvirket informasjon som ikke tidligere har vært håndtert i henhold til kravene i sikkerhetsloven. Dette kan eksempelvis være tilfellet for virksomheter som blir omfattet av sikkerhetsloven ved vedtak etter SL § 1-3, som følge av et departements vurdering av at virksomheten er av avgjørende betydning for grunnleggende nasjonale funksjoner. Dette temaet omhandles under spørsmålet «kan informasjonen kontrolleres?» i del 1 av fremgangsmåten for verdivurdering.

Virksomheten står fritt til å implementere egne prosesser og retningslinjer for verdivurdering og beslutninger om sikkerhetsgradering. I noen virksomheter kan det være hensiktsmessig å etablere egne funksjoner for å bistå i verdivurderingsprosessen. Håndbokens siste del omhandler bruk av virksomhetsinterne retningslinjer for verdivurdering.