Разработка любой прикладной информационной системы требует обязательной доработки системы обеспечения информационной безопасности, в связи с чем данные рабочие процессы должны протекать параллельно, без отрыва друг от друга.
Процессу разработки, модернизации информационной системы должен предшествовать процесс определения перечня информации, которую в будущем будут обрабатывать в данной системе, и присвоения категорий защищаемой информации.
Этапу ввода в эксплуатацию прикладной информационной системы должен предшествовать этап ввода в эксплуатацию разработанной (доработанной) системы информационной безопасности. Разработанная (доработанная) система информационной безопасности должна предусматривать:
назначение уровня полномочий и должностных лиц, ответственных за присвоение категории обрабатываемой информации (служебная тайна, персональные данные, открытая информация общего пользования и т.д.);
назначение уровня полномочий и должностных лиц, имеющих право распоряжаться информацией, - применительно к каждой категории защищаемой информации;
условия и порядок допуска пользователей информации к работе с информацией - применительно к каждой категории защищаемой информации;
определение объема информации, необходимой и достаточной для эффективного выполнения работниками организации своих прямых должностных обязанностей;
определение границ применения информации пользователями информации;
разработку необходимого пакета документов, регламентирующих работу в информационной системе.
Стадия ввода в действие прикладной информационной системы завершается аттестацией объекта информатизации, в состав которого вводится данная система.