Målgruppen for Veileder for godkjenning av informasjonssystem er virksomheter underlagt sikkerhetsloven og som har informasjonssystemer som må sikkerhetsgodkjennes, altså personell som skal forestå søknader om sikkerhetsgodkjenning og personell som skal forestå virksomhetens interne sikkerhetsgodkjenninger.

Skjermingsverdige informasjonssystemer er systemer for behandling av skjermingsverdig informasjon eller systemer som i seg selv er avgjørende for grunnleggende nasjonale funksjoner. Skjermingsverdige informasjonssystemer skal godkjennes som grunnlag for tillit til at sikkerhetsnivået for systemet er forsvarlig.

Skjermingsverdige informasjonssystemer godkjennes av virksomhetene selv eller av NSM, avhengig av den risiko systemene er utsatt for. Sektormyndigheter med tilsynsansvar (der slike er utpekt)1 kan godkjenne skjermingsverdige informasjonssystemer, forutsatt at de er gitt godkjenningsmyndighet.

Hele informasjonssystemet skal godkjennes: Tjenere, periferiutstyr og klienter, for angitt funksjon og operativt miljø og med de forutsetninger og regler som gjelder for sikker bruk. Sikkerhetsgodkjenninger gjelder i inntil 5 år eller til endringer som er vesentlige for beskyttelsen av systemet, besluttes eller oppstår.

Ved særlig behov for å ta et informasjonssystem i bruk kan det gis midlertidig brukstillatelse selv om ikke alle formelle krav til sikkerhetsgodkjenning er oppfylt. En forutsetning for slik tillatelse er at alle mangler er kompensert slik at sikkerhetsnivået for systemet er forsvarlig, og at det foreligger plan for å rette manglene. NSM kan i særlige tilfeller dispensere fra krav til midlertidig brukstillatelse.

 1 Utpekt iht. bestemmelsene i sikkerhetsloven § 3 - 1, andre ledd