Det er virksomheten som tilvirker informasjonen som er ansvarlig for å vurdere hvorvidt informasjonen skal sikkerhetsgraderes. Sikkerhetsgradert informasjon kan også ha behov for at informasjonens integritet og tilgjengelighet ivaretas, av hensyn til nasjonale sikkerhetsinteresser.

Beslutningen om at informasjon skal sikkerhetsgraderes skal være et resultat av en vurdering hvor det konkluderes med at uautorisert tilgang til informasjonen rimelig kan forventes å forårsake skade på nasjonale sikkerhetsinteresser, og at skaden kan identifiseres og beskrives. Det er ikke nødvendig å utarbeide en skriftlig beskrivelse av skadefølgene, men den som graderer må være forberedt på å kunne begrunne beslutningen. En slik begrunnelse vil være sentral i forbindelse med en vurdering av om informasjonen skal omgraderes, iht. virksomhetsikkerhetsforskriften § 30, jf. § 32 og § 33.

Dersom en verdivurdering konkluderer med at konfidensialitetsbrudd ikke i noen grad kan medføre skadefølger for nasjonale sikkerhetsinteresser, skal informasjonen ikke sikkerhetsgraderes. Informasjonen skal dermed heller ikke beskyttes etter de særlige bestemmelsene for sikkerhetsgradert informasjon i §§ 5-4 til 5-6. Dette utelukker imidlertid ikke at informasjonen skal beskyttes etter andre regelverk.

Dersom en verdivurdering konkluderer med at en informasjonsmengde skal sikkerhetsgraderes, skal en av de fire sikkerhetsgradene benyttes for å angi i hvor stor grad konfidensialitetsbrudd kan medføre skadefølger for nasjonale sikkerhetsinteresser.