Obveza posjedovanja certifikata poslovne sigurnosti i svrha u koju se on izdaje propisani su Zakonom o informacijskoj sigurnosti (NN 79/07), a izdaje se pravnim i fizičkim osobama koje ostvaruju pristup ili postupaju s klasificiranim podacima stupnjeva tajnosti „Povjerljivo“, „Tajno“ i „Vrlo tajno“, koji se razmjenjuju u okviru klasificiranog ugovora koje pravne osobe sklapaju s državnim tijelima, tijelima jedinica lokalne i područne (regionalne) samouprave te pravnim osobama s javnim ovlastima, prema procedurama i uvjetima propisanima navedenim Zakonom i pripadajućim podzakonskim aktima.
 
Temeljem odredbi Zakona o tajnosti podataka (NN 79/07), navedenim stupnjevima tajnosti mogu se klasificirati samo podaci iz djelokruga državnih tijela u području obrane, sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka, znanosti, tehnologije, javnih financija i gospodarstva ukoliko su podaci od sigurnosnog interesa za Republiku Hrvatsku, čijim bi se neovlaštenim otkrivanjem nanijela šteta nacionalnoj sigurnosti i vitalnim interesima RH, kako je to propisano člancima 6. - 8. navedenog Zakona.
 
Slijedom navedenog certifikat poslovne sigurnosti ne može se smatrati jednakovrijednim ili zamjenom za Certifikat o uspostavljenom sustavu upravljanja informacijskom sigurnošću ISO/IEC 27001.