Veileder for godkjenning av informasjonssystem
Grunnlag for sikkerhetsgodkjenning
Sikkerhetsgodkjenning er en planlagt og systematisk gjennomgang for å skape tillit til at sikkerhetsnivået for et informasjonssystem er forsvarlig.
Sikkerhetsgodkjenning omfatter undersøkelser av hvorvidt og hvordan risiko for uønskede hendelser er vurdert og håndtert til akseptabelt nivå. Undersøkelsene omfatter informasjonssystemets funksjon og operative miljø, beskyttelsesbehovet, krav om sikkerhetstiltak for å oppnå dette behovet og kontrollen av tiltakene.
Sikkerhetstiltak kan velges med utgangspunkt i kriterier og tiltak angitt i NSMs veiledninger som er relevante for det aktuelle informasjonssystemet. Alternativt kan tiltak velges med utgangspunkt i vurdering av sikkerhetsnivået for systemet.
Sikkerhetstiltak skal kontrolleres for å bekrefte og dokumentere at de gir akseptabel risiko og forsvarlig sikkerhetsnivå som resultat. Sikkerhetstiltak som er avgjørende for å hindre særlig kritiske uønskede hendelser skal evalueres.