| Gradert informasjon skal bare utstedes i det antall som det tjenstlige behovet tilsier. Den organisasjonsenheten som har utstedt informasjonen kan for det enkelte tilfelle gi tillatelse til at det stilles til rådighet for den som har et særlig behov for det, og som er autorisert.
En part har rett til å gjøre seg kjent med de delene av informasjonen som ikke inneholder graderte opplysninger, jfr. Forvaltningsloven.
For informasjon med de høyeste beskyttelsesgradene skal det legges opp til spesielle rutiner som begrenser spredningen til et absolutt minimum.
Den som har et gradert informasjon i sin varetekt, er personlig ansvarlig for at opplysningene ikke blir kjent for utenforstående.
Prosesseier er ansvarlig for å koordinere og samordne sikkerheten der prosesser støtter seg på mer enn ett system. Prosesseier og systemeiere er i fellesskap ansvarlige for at det legges opp relevante rutiner, slik at sikkerheten ivaretas på tvers av ulike systemer.
|