Kort om säkerhetsskyddsarbetet

Säkerhetsskyddsregelverket föreskriver olika skyldigheter för verksamhetsutövare.

För verksamhetsutövare inom FI:s tillsområde gäller följande författningar:

Säkerhetspolisen har även gett ut vägledningar som stöd för de verksamheter som omfattas av säkerhetsskyddslagstiftningen.

Säkerhetsskyddsarbetet ska vara ett ständigt pågående arbete. Det bygger på en kontinuerlig identifiering av skyddsvärden, framtagande av säkerhetsskyddsanalys, uppdatering av säkerhetskyddsplanen samt utformning av skyddet, vidtagna åtgärder och uppföljning.

Säkerhetsskyddschef

Vid en säkerhetskänslig verksamhet ska det som utgångspunkt finnas en säkerhetsskyddschef som ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt säkerhetsskyddslagstiftningen. Detta ansvar kan inte delegeras. Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, och annars verksamhetsutövarens ledning.

Säkerhetsskyddsanalys

Den som till någon del bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd och dokumentera det i en säkerhetsskyddsanalys. Analysen ska ge svar på vad som ska skyddas, mot vad och på vilket sätt.

Säkerhetsskyddsanalysen ska uppdateras minst vartannat år.

I säkerhetsskyddsanalysen ska det bland annat framgå vilka säkerhetsskyddsåtgärder som är nödvändiga. Åtgärderna delas in i informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Säkerhetsskyddsplan

Med utgångspunkt i vad som framkommit i säkerhetsskyddsanalysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Detta görs i en säkerhetsskyddsplan.
Säkerhetsskyddsplanen ska redogöra hur säkerhetsskyddsåtgärderna i säkerhetsskyddsanalysen ska omhändertas. Det ska vidare framgå när åtgärderna ska vidtas och vilken funktion som ansvarar för dem.

Informationssäkerhet

Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Informationssäkerhet ska också förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Fysisk säkerhet

Fysisk säkerhet ska förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och förebygga skadlig inverkan på dessa.

Personalsäkerhet

Personalsäkerhet ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

Bedömningen görs genom en säkerhetsprövning som består av en grundutredning och i vissa fall en registerkontroll (samt i förekommande fall en särskild personutredning). Grundutredningen ska bland annat omfatta en säkerhetsprövningsintervju, kontroll av betyg och intyg samt referenstagning.

Säkerhetsprövningsintervjun ska ge underlag till att kunna bedöma den enskildes lojalitet, pålitlighet och sårbarhet. Om befattningen är placerad i säkerhetsklass ska även en registerkontroll hos Säkerhetspolisen göras.

Signalskydd

I säkerhetsskyddslagstiftningen finns särskilda regler för verksamheter som kommunicerar säkerhetsskyddsklassificerade uppgifter. Där ställs exempelvis krav på att använda signalskyddssystem då säkerhetsskyddsklassificerade uppgifter ska kommuniceras digitalt.

I förordningen (2015:1053) om totalförsvar och höjd beredskap framgår vilka organisationer som ska ha signalskyddssystem. MSB beslutar om vilka övriga civila verksamhetsutövare som ska ha sådana system.


Senast granskad: 2024-12-20