En stabil och väl fungerande finansmarknad för alla
En stabil och väl fungerande finansmarknad för alla
Kort om säkerhetsskydd
Säkerhetsskyddsarbetet ska vara ett ständigt pågående arbete. Det bygger på en kontinuerlig identifiering av skyddsvärden, framtagande av säkerhetsskyddsanalys, uppdatering av säkerhetskyddsplanen samt utformning av skyddet, vidtagna åtgärder och uppföljning.
Säkerhetsskyddschef
Vid en säkerhetskänslig verksamhet ska det som utgångspunkt finnas en säkerhetsskyddschef som ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt säkerhetsskyddslagstiftningen. Detta ansvar kan inte delegeras. Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, och annars verksamhetsutövarens ledning.
Säkerhetsskyddsanalys
Den som till någon del bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd och dokumentera det i en säkerhetsskyddsanalys. Analysen ska ge svar på vad som ska skyddas, mot vad och på vilket sätt.
Säkerhetsskyddsanalysen ska uppdateras minst vartannat år.
I säkerhetsskyddsanalysen ska det bland annat framgå vilka säkerhetsskyddsåtgärder som är nödvändiga. Åtgärderna delas in i informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Identifiera säkerhetshot
Verksamhetsutövare ska identifiera vilka hot som är kopplade till verksamhetsutövarens skyddsvärden. Som stöd i det arbetet kan Säkerhetspolisen, Must och FRA:s publikationer användas.
Informationssäkerhet
Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Informationssäkerhet ska också förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
Fysisk säkerhet
Fysisk säkerhet ska förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och förebygga skadlig inverkan på dessa.
Personalsäkerhet
Personalsäkerhet ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Bedömningen görs genom en säkerhetsprövning som består av en grundutredning och i vissa fall en registerkontroll (samt i förekommande fall en särskild personutredning). Grundutredningen ska bland annat omfatta en säkerhetsprövningsintervju, kontroll av betyg och intyg samt referenstagning.
Säkerhetsprövningsintervjun ska ge underlag till att kunna bedöma den enskildes lojalitet, pålitlighet och sårbarhet. Om befattningen är placerad i säkerhetsklass ska även en registerkontroll hos Säkerhetspolisen göras.
Beslut om placering i säkerhetsklass och ansökan om registerkontroll
När en verksamhetsutövare gjort bedömningen att en befattning ska vara placerad i säkerhetsklass, ska verksamhetsutövaren begära ett beslut om placering i säkerhetsklass på en särskild blankett. Det är FI som fattar beslut om att en viss befattning ska vara placerad i säkerhetsklass.
Efter ett beslut om placering i säkerhetsklass kan verksamhetsutövaren ansöka om registerkontroll för en person i befattningen. Blanketter för registerkontroll, och i förekommande fall särskild personutredning, finns på Säkerhetspolisens webbplats. Dessa ska skickas till FI för vidarebefordran till Säkerhetspolisen.
Till en ansökan om registerkontroll ska verksamhetsutövaren bifoga en bekräftelse på att de personer som kontrollen avser har samtyckt till den. Verksamhetsutövaren ska på samma blankett bekräfta att lämplighetsprövningen är genomförd.
När en registerkontroll upphör ska detta anmälas till FI, tillsammans med ett försättsblad, som vidarebefordrar avanmälan till Säkerhetspolisen. Blanketten för avanmälan finns på Säkerhetspolisens hemsida.
- Begäran om beslut om placering i säkerhetsklass (FI)
- Försättsblad, ansökan om registerkontroll
- Ansökan om registerkontroll (Säpo)
- Bilaga särskild personutredning klass 1 och 2 (Säpo)
- Försättsblad, avanmälan registerkontroll (FI)
- Avanmälan av registerkontroll (Säpo)
Säkerhetsskyddsplan
Med utgångspunkt i vad som framkommit i säkerhetsskyddsanalysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Detta görs i en säkerhetsskyddsplan.
Säkerhetsskyddsplanen ska redogöra hur säkerhetsskyddsåtgärderna i säkerhetsskyddsanalysen ska omhändertas. Det ska vidare framgå när åtgärderna ska vidtas och vilken funktion som ansvarar för dem.
Signalskydd
I säkerhetsskyddslagstiftningen finns särskilda regler för verksamheter som kommunicerar säkerhetsskyddsklassificerade uppgifter. Där ställs exempelvis krav på att använda signalskyddssystem då säkerhetsskyddsklassificerade uppgifter ska kommuniceras digitalt.
Senast granskad: 2025-01-09
