a. identifisert behovet for beskyttelse, basert på informasjonssystemets funksjon og operative miljø b. fastsatt sikkerhetskrav ut fra behovet for beskyttelse c. etablert sikkerhetstiltak som oppfyller sikkerhetskravene gjennom hele informasjonssystemets levetid d. kontrollert at sikkerhetstiltakene fungerer etter sin hensikt.
