Sikkerhetsloven angir hvilke informasjonssystemer som er skjermingsverdige i:

§ 6-1. Skjermingsverdige informasjonssystemer (første ledd)

 

Et informasjonssystem er skjermingsverdig dersom det behandler skjermingsverdig informasjon, eller dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner.

Et skjermingsverdig informasjonssystem er et system for innsamling, registrering, sammenstilling lagring og utlevering av skjermingsverdig informasjon og/eller et system som har avgjørende betydning for en grunnleggende nasjonale funksjon.

Skjermingsverdig informasjon er informasjon som kan skade nasjonale sikkerhetsinteresser dersom informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig, jf. sikkerhetsloven § 5-1. Skjermingsverdig informasjon er følgelig informasjon som må sikres av hensyn til konfidensialitet, tilgjengelighet eller integritet.

Eksempler på skjermingsverdige informasjonssystemer er systemer for saksbehandling av sikkerhetsgradert informasjon, systemer for informasjonsbehandling i våpensystemer og prosesstyringssystemer som i seg selv er, eller som har avgjørende betydning for grunnleggende nasjonale funksjoner.

Kravet om sikkerhetsgodkjenning i sikkerhetsloven § 6-3 gjelder for hele informasjonssystemet. Det innebærer at sikkerhetsgodkjenningen normalt skal omfatte alle de deler av informasjonssystemet (tjenere, periferiutstyr og klienter) som er nødvendig for å oppnå systemets formål. Sikkerhetsgodkjenningen gjelder for den funksjon og det operative miljø som er angitt, og med de forutsetninger og regler for sikker bruk som gjelder for systemet.

En sikkerhetsgodkjenning vil gjelde for fysiske plasseringer av informasjonssystemet. Godkjenninger kan også gjelde for typiske plasseringer (for eksempel serverrom, kontorer, kjøretøy og fartøy) beskrevet gjennom forutsetningene og reglene for sikker bruk.

Virksomheten må ha oversikter over informasjonssystemets fysiske plasseringer. Informasjon om skjermingsverdige informasjonssystemer, herunder om fysiske plasseringer av slike skal være tilgjengelig for tilsynsmyndigheten, jf. sikkerhetsloven § 3-4, første ledd.