Virksomhetsikkerhetsforskriften har krav til hva godkjenning av skjermingsverdige informasjonssystemer innebærer og skal omfatte, i:

§ 52. Godkjenning av et skjermingsverdig informasjonssystem

 

Godkjenningen av et skjermingsverdig informasjonssystem er en planlagt og systematisk gjennomgang av om virksomheten har oppnådd et forsvarlig sikkerhetsnivå. Virksomheten skal dokumentere at den på en tilfredsstillende måte har vurdert og håndtert risikoen, og den skal i forbindelse med dette ha

 

a) identifisert behovet for beskyttelse, basert på informasjonssystemets funksjon og operative miljø
b) fastsatt sikkerhetskrav ut fra behovet for beskyttelse
c) etablert sikkerhetstiltak som oppfyller sikkerhetskravene gjennom hele informasjonssystemets levetid
d) kontrollert at sikkerhetstiltakene fungerer etter sin hensikt.

Sikkerhetsgodkjenning skal gjennomføres planlagt og systematisk iht. prosedyrer fastlagt på forhånd. Kravet gjelder uavhengig av om NSM, virksomheten selv eller sektormyndighet med tilsynsansvar er godkjenningsmyndighet.

Sikkerhetsgodkjenninger skal gjennomføres med uavhengighet tilsvarende som beskrevet i virksomhetsikkerhetsforskriften § 6 om skille mellom kontrollerende og utøvende oppgaver. Dette innebærer at ansvar for sikkerhetsgodkjenning bør legges til andre enn de som har utviklet og drifter informasjonssystemet, og at ansvar for kontroll av sikkerhetstiltak bør legges til andre enn de som har valgt eller etablert tiltakene.

Sikkerhetsgodkjenning gjennomføres ved hjelp av undersøkelser av hvorvidt og hvordan risiko for uønskede hendelser er vurdert og håndtert til akseptabelt nivå. Disse undersøkelsene omfatter funksjon og operativt miljø, beskyttelsesbehov, krav (til sikkerhetstiltak) og kontroll av disse tiltakene.