ATO（Authorization To Operate）とは、製品をシステムに使用しても良いかの承認です。

システムを作るときには、世の中にある数ある製品の中から用途に合わせ取捨選択しています。そこで、この製品はシステムに入れてもいいという許可（ATO）を担当部からもらうのです。

承認者はAO（Authorization Operate）とよばれ、いくつかの認可決定を下すことができます。

• 運用の許可　リスクが許容レベルまで管理され、正規に承認することです。
• 共通コントロールとして認可　既存のセキュリティコントロールと同等と見なし、承認することです。
• 使用の許可　サードパーティプロバイダーによるサービスを受け入れることです。他のAOのATOを受け入れる際の相互承認にも使用されます。
• 認可の拒否　リスクが許容できない場合に発行されます。