La informació classificada manejada en un Sistema ha de protegir-se contra la pèrdua de confidencialitat, integritat, disponibilitat, traçabilitat i autenticitat, siga accidental o intencionada, i ha d'impedir-se la pèrdua d'integritat i disponibilitat dels propis sistemes que sustenten aquesta informació. I és el Centre Criptològic Nacional l'encarregat de vetlar pel compliment de la normativa relativa a la protecció d'esta informació classificada.
Per este motiu, el CCN ha fet pública la Guia CCN-STIC 101 Acreditación de Sistemas TIC
on es definix el procediment d'acreditació dels sistemes que manegen informació classificada, segons l'establit en la Política de Seguretat de les TIC (establida en la Llei 11/2002 de 6 de maig, reguladora del CNI i del Reial decret 421/2004, de 12 de març, pel qual es regula el CCN). Tot açò, entenent per Acreditació a l'autorització atorgada a un Sistema per a manejar informació classificada fins a un grau determinat, o en unes determinades condicions d'integritat o disponibilitat, conformement al seu Concepte d'Operació (CO).
La Guia ara actualitzada aborda les responsabilitats sobre l'acreditació d'un sistema (tenint en compte que el Secretario de Estado director del CNI és Autoritat d'Acreditació de Seguretat), el procés d'acreditació o l'acreditació de les interconnexions. Així mateix, dedica un capítol ampli a les condicions per a una acreditació i els requisits exigits en tot el procés:
- Documentació de seguretat
- Seguretat de l'entorn d'operació (seguretat personal, física i dels documents)
- Seguretat de les emanacions
- Seguretat criptològica
- Seguretat de les TIC
- Avaluació de Seguretat de les TIC
Finalment, el document arreplega les situacions possibles de l'acreditació, la seua validesa, el període entre avaluacions, la reacreditación, els informes a remetre entre acreditacions i el registre de sistemes acreditats.
