Tijelo ili pravna osoba, koja je vlasnik informacijskoga sustava za koji želi provesti sigurnosnu akreditaciju, Zavodu za sigurnost informacijskih sustava dostavlja Zahtjev za provođenje sigurnosne akreditacije.
Nakon zaprimanja Zahtjeva održava se inicijalni sastanak predstavnika tijela ili pravne osobe i predstavnika Zavoda za sigurnost informacijskih sustava na kojemu se utvrđuju značajke informacijskoga sustava, na temelju čega Zavod za sigurnost informacijskih sustava izrađuje Strategiju sigurnosne akreditacije informacijskoga sustava.
U Strategiji sigurnosne akreditacije informacijskoga sustava utvrđuje se strukturirani postupak sigurnosne akreditacije sa slijedom glavnih aktivnosti koje je potrebno poduzeti, određuju se odgovorne osobe tijela ili pravne osobe za provedbu sigurnosne akreditacije, njihove dužnosti, određuju se dokumenti iz sigurnosne dokumentacije koje je potrebno izraditi i koja su tijela zadužena za njihovu izradu te se utvrđuje dinamika provedbe pojedinih aktivnosti. Temeljem Strategije sigurnosne akreditacije informacijskoga sustava tijelo ili pravna osoba, vlasnik informacijskoga sustava, uz koordinaciju sa Zavodom za sigurnost informacijskih sustava provodi mjere informacijske sigurnosti na informacijskome sustavu i izrađuje sigurnosnu dokumentaciju informacijskoga sustava.
Koordinaciju s tijelom ili pravnom osobom Zavod za sigurnost informacijskih sustava provodi uz konzultacije sa savjetnikom za informacijsku sigurnost u tijelu ili pravnoj osobi, osobama nadležnima za projektiranje i operativni rad informacijskoga sustava, osobama nadležnima za poslovni proces tijela ili pravne osobe kao i osobama nadležnima za pojedine skupine podataka koji se koriste na informacijskome sustavu, u područjima:
kao i drugim stručnim područjima iz nadležnosti Zavoda za sigurnost informacijskih sustava.
Temeljem procjene sigurnosne dokumentacije i provjere primjene mjera i standarda informacijske sigurnosti na informacijskome sustavu Zavod za sigurnost informacijskih sustava izdaje Certifikat sigurnosne akreditacije informacijskoga sustava ili donosi Odluku o izdavanju privremenog odnosno ograničenog odobrenja za korištenje informacijskoga sustava.