Säkerhets­skydds­analysen är grunden

Att en verksamhetsutövare ska utreda behovet av säkerhetsskydd i en säkerhetsskyddsanalys är välkänt. Något som inte är lika välkänt är hur analysen hänger ihop med andra delar i säkerhetsskyddsarbetet.

Säkerhetsskyddsanalysen

I en säkerhetsskyddsanalys identifieras bl a vilka delar av verksamhetsutövarens verksamhet som är av betydelse för Sveriges säkerhet. Skyddsvärden som finns i den säkerhetskänsliga verksamheten identifieras. Det är dessa skyddsvärden, och den säkerhetskänsliga verksamheten i stort, som sedan används för att identifiera säkerhetshot och sårbarheter samt bedöma vilka säkerhetsskyddsåtgärder som är nödvändiga.1 2

De skyddsvärden som ska identifieras är bl a:

  • Säkerhetsskyddsklassificerade uppgifter.1 3
  • Anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet.1 4

Figuren visar hur säkerhetsskyddsanalysen relaterar till några delar i säkerhetsskyddsarbetet. Dessa beskrivs kortfattat nedan.

graph LR; SSA[Verksamhetsutövarens
säkerhetsskyddsanalys] SP[Säkerhetsskyddsplan] SSK(Säkerhetsskyddsklassificering) FYS(Funktioner inom
fysisk säkerhet) PRV[Förteckning över
befattningar som ska
säkerhetsprövas] SSBI[Särskilda säkerhetsskyddsbedömningar
Informationssystem] SSBS[Särskilda säkerhetsskyddsbedömningar
Inför säkerhetsskyddsavtal] SSBO[Särskilda säkerhetsskyddsbedömningar
Inför överlåtelse] SSA --> SP SSA --> SSK SSA --> FYS SSA --> PRV SSA --> SSBI SSA --> SSBS SSA --> SSBO style SSA stroke-width:4px

Säkerhetsskyddsplanen

Säkerhetsskyddsplanen är en direkt fortsättning på säkerhetsskyddsanalysen. Det är de säkerhetsskyddsåtgärder som har bedömts som nödvändiga i säkerhetsskyddsanalysen som anges i säkerhetsskyddsplanen.

Planen redogör för hur behovet av säkerhetsskyddsåtgärder omhändertas, när åtgärderna ska vidtas och vilken funktion som ansvarar för dem.5

Säkerhetsskyddsplanen ska inte förväxlas med den åtgärdsplan som används för att i det vardagliga arbetet hantera avvikelser, t ex efter en kontroll av att verksamheten följer regelverket för säkerhetsskydd – det görs i åtgärdsplanen som ska uppdateras löpande.6 Begreppet åtgärdsplan har använts för att undvika sammanblandning med säkerhetsskyddsplanen.

Säkerhetsskyddsklassificering

Att dela in säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklasser görs löpande i det dagliga arbetet. När verksamhetsutövarens personal skapar säkerhetsskyddsklassificerade handlingar måste de först ha informerats om vilka uppgifter i den egna verksamheten som har identifierats vara säkerhetsskyddsklassificerade och vilken säkerhetsskyddsklass som är aktuell för uppgifterna. Om inte personalen har den kunskapen riskerar uppgifterna hanteras utan säkerhetsskydd, t ex i informationssystem som inte är avsedda för behandling av säkerhetsskyddsklassificerade uppgifter.

Verksamhetsutövarens säkerhetsskyddsanalys är av stor betydelse för arbetet med säkerhetsskyddsklassificering.7

Funktioner inom fysisk säkerhet

Identifierat säkerhetsskyddsbehov ligger till grund för funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan på områden, byggnader och andra anläggningar eller objekt där säkerhetskänslig verksamhet bedrivs.8

I verksamhetsutövarens säkerhetsskyddsanalys identifieras behovet av av fysisk säkerhet.

Förteckning över befattningar som ska säkerhetsprövas

Verksamhetsutövare ska föra förteckning över vilka anställningar eller annat deltagande i den säkerhetskänsliga verksamheten som placerats i säkerhetsklass samt anställningar eller annat deltagande i den säkerhetskänsliga verksamheten som ska föranleda säkerhetsprövning utan placering i säkerhetsklass.9 Arbetet att ta fram förteckningen brukar kallas befattningsanalys, även om det begreppet inte finns i författningar eller vägledningar.

Förteckningen tas fram med utgångspunkt i säkerhetsskyddsanalysen.9

Särskilda säkerhetsskyddsbedömningar för informationssystem

Säkerhetskrav för ett informationssystem som har betydelse för säkerhetskänslig verksamhet dokumenteras i en särskild säkerhetsskyddsbedömning.10 I den särskilda säkerhetsskyddsbedömningen ska verksamhetsutövare bl a beskriva vilka säkerhetsskyddsklassificerade uppgifter som kan komma att behandlas i systemet eller på vilket annat sätt systemet är av betydelse för säkerhetskäns­lig verksamhet.11 12

Vilka säkerhetsskyddsklassificerade uppgifter som finns i den säkerhetskänsliga verksamheten är redan identifierade i verksamhetsutövarens säkerhetsskyddsanalys. Vilka säkerhetskänsliga verksamheter i övrigt som finns är också redan identifierade i verksamhetsutövarens säkerhetsskyddsanalys.

Eftersom en särskild säkerhetsskyddsbedömning tas fram för varje informationssystem finns det ett tydligt förhållande mellan de särskilda säkerhetsskyddsbedömningarna och verksamhetsutövarens säkerhetsskyddsanalys.

graph LR; SSA[Verksamhetsutövarens
säkerhetsskyddsanalys] SSBa[Särskild säkerhetsskyddsbedömning för
informationssystem A] SSBb[Särskild säkerhetsskyddsbedömning för
informationssystem B] SSBc[Särskild säkerhetsskyddsbedömning för
informationssystem C] SSA --> SSBa SSA --> SSBb SSA --> SSBc style SSA stroke-width:4px

Särskilda säkerhetsskyddsbedömningar inför säkerhetsskyddsavtal

Inför att en verksamhetsutövare ingår ett säkerhetsskyddsavtal med en annan aktör, ska verksamhetsutövaren genomföra en särskild säkerhetsskyddsbedömning.13 I den identifieras vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till.14

På motsvarande sätt som för informationssystem har förekomsten av säkerhetsskyddsklassificerade uppgifter i den säkerhetskänsliga verksamheten redan identifierats i verksamhetsutövarens säkerhetsskyddsanalys. Vilka säkerhetskänsliga verksamheter i övrigt som finns är också redan identifierade i verksamhetsutövarens säkerhetsskyddsanalys.

Särskilda säkerhetsskyddsbedömningar inför överlåtelse

Inför att en verksamhetsutövare överlåter säkerhetskänslig verksamhet och viss egendom till en förvärvare, ska verksamhetsutövaren genomföra en särskild säkerhetsskyddsbedömning.15 I den identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till.16

På motsvarande sätt som för informationssystem har förekomsten av säkerhetsskyddsklassificerade uppgifter i den säkerhetskänsliga verksamheten redan identifierats i verksamhetsutövarens säkerhetsskyddsanalys. Vilka säkerhetskänsliga verksamheter i övrigt som finns är också redan identifierade i verksamhetsutövarens säkerhetsskyddsanalys.

≈ ≈ ≈

Om en organisation bedriver säkerhetskänslig verksamhet används säkerhetsskyddsanalysen för att bl a identifiera skyddsvärden i den säkerhetskänsliga verksamheten. Säkerhetsskyddsanalysen är grunden för säkerhetsskyddsarbetet och analysen har relationer med bl a säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Säkerhetspolisens uppdaterade vägledning om säkerhetsskyddsanalys är ett stöd för att genomföra en säkerhetsskyddsanalys. Jämfört med tidigare versioner har vägledningen förbättrats, men är fortfarande för abstrakt. Endast utifrån vägledningen är det svårt att föreställa sig hur analysen praktiskt ska dokumenteras. Offentliga exempeldokument som kan göra vägledningen mer konkret saknas.

/Kim Hakkarainen

I min bok Säkerhetsskydd – En introduktion kan du läsa mer om säkerhetsskydd.

Boken förklarar helheten – från säkerhetsskyddslagen till myndigheternas föreskrifter.

Andra utgåvan av boken är på 433 sidor och innehåller ett hundratal figurer som illustrerar de viktigaste begreppen och förhållandena.

Referenser


  1. 2 kap 1 § andra stycket säkerhetsskyddsförordningen (2021:955). ↩︎

  2. 2 kap 2–9 §§ Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd. ↩︎

  3. 2 kap 3 § Säkerhetspolisens föreskrifter om säkerhetsskydd. ↩︎

  4. 2 kap 3 § Säkerhetspolisens föreskrifter om säkerhetsskydd. ↩︎

  5. 2 kap 12 § första stycket Säkerhetspolisens föreskrifter om säkerhetsskydd ↩︎

  6. 2 kap 14 § andra stycket Säkerhetspolisens föreskrifter om säkerhetsskydd ↩︎

  7. Sidan 140 i proposition 2017/18:89. ↩︎

  8. 4 kap 1 § säkerhetsskyddsförordningen. ↩︎

  9. 6 kap 2 och 3 §§ Säkerhetspolisens föreskrifter om säkerhetsskydd. ↩︎

  10. 3 kap 1 § säkerhetsskyddsförordningen. ↩︎

  11. 2 kap 13 § andra stycket Säkerhetspolisens föreskrifter om säkerhetsskydd. ↩︎

  12. Sidan 49 i Säkerhetspolisens vägledning om informationssäkerhet, 2023. ↩︎

  13. 4 kap 7 § första stycket säkerhetsskyddslagen (2018:585). ↩︎

  14. 4 kap 8 § första stycket säkerhetsskyddslagen. ↩︎

  15. 4 kap 13 § första stycket säkerhetsskyddslagen. ↩︎

  16. 4 kap 14 § första stycket säkerhetsskyddslagen. ↩︎