Skjermingsverdige informasjonssystemer som behandler sikkerhetsgradert informasjon (graderte informasjonssystemer) må sikres i forhold til graderingsnivået for informasjonen som behandles.

Skjermingsverdige informasjonssystemer som behandler informasjon med annet beskyttelsesbehov enn konfidensialitet eller som i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner (skjermingsverdige ugraderte informasjonssystemer) må sikres tilsvarende deres kritikalitet for funksjonen.

Informasjonssystemsikkerhet må ses i nær sammenheng med objekt - og infrastruktursikkerhet . D et kan i flere tilfeller være aktuelt å utpek e skjerm ingsverdige ugradert informasjonssystemer som skjermingsverdig objekt eller infrastruktur. Det er følgelig naturlig å ta utgangspunkt i klassifiseringssystemet for objekt og infr astruktur for å fastlegge hvilken grad av sikring som er nødvendig for et ugradert skjermingsverdig informasjonssystem.

Beskyttelsesbehovet angis med utgangspunkt i de av kravene til beskyttelse i virksomhetsikkerhetsforskriften § 49 a) – g). Informasjon om beskyttelsesbehov er grunnlag for valg av de sikkerhetstiltak som er nødvendig for å håndtere risiko til akseptabelt nivå og slik oppnå forsvarlig sikkerhetsnivå.