Riktlinje för säkerhetsskydd

Innehållsförteckning

1. Inledning

1.1 Syfte

Riktlinjen syftar till att skapa en gemensam inriktning och tydliggöra de krav och ansvar som gäller för Skara kommuns säkerhetsskydd.

Med säkerhetsskydd avses förebyggande åtgärder för att skydda Sveriges säkerhet. Enligt 1 kap 2§ säkerhetsskyddslagen definieras säkerhetsskydd som:

1. Skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
2. Med Säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.

1.2 Vem omfattas av riktlinjen

Dessa riktlinjer är styrande för hanteringen av säkerhetsskyddsfrågor i samtliga nämnder i Skara kommun. Varje nämnd ska inom ramen för riktlinjen ansvara för arbetet inom sitt verksamhetsområde och tillsammans med säkerhetsskyddschef och kommunens säkerhetssamordnare utreda sina verksamheter om de hanterar säkerhetsskydd.

1.3 Koppling till lagstiftning och andra styrdokument

Styrdokumenten på kommunövergripande nivå består av Riktlinje för säkerhetsskydd med tillhörande rutiner.

Styrande vid framtagande av riktlinjerna är säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2021:955), Säkerhetspolisens författningssamling (PMFS 2022:1) samt offentlighets- och sekretesslag (2009:400).

2. Ansvar och organisation

2.1 Kommunstyrelsen

Det yttersta ansvaret för att säkerhetsskyddslagen följs i Skara kommun åvilar kommunstyrelsen enligt 3 § punkten 6 i kommunstyrelsens reglemente.

2.2 Kommundirektör

Kommundirektören har sitt uppdrag ifrån kommunstyrelsen och är kommunens ledande tjänsteman.

Kommundirektören har det yttersta ansvaret för att lägga förslag till och verkställa kommunstyrelsens beslut.

Kommundirektören ska säkerställa att den kommunala verksamheten bedrivs på ett sådant sätt att gällande lagstiftning följs.

Kommundirektören ska i sitt arbete sörja för att den kommunala verksamheten bedrivs i enlighet med av kommunfullmäktige beslutade mål och riktlinjer, att givna budgetramar hålls samt i enlighet med kommunstyrelsens beslutade mål, riktlinjer och styrmodell.

Kommundirektören ska säkerställa att alla kommunens verksamheter arbetar i enlighet med politiska beslut.

Kommundirektören ska följa upp, utvärdera och utarbeta förslag om riktlinjer för ägarstyrningen av de kommunala bolagen. Kommundirektören ska ha ansvar för att kontrollera utförandet av delegerade verksamheter och projekt.

2.3 Säkerhetsskyddschef

Kommunstyrelsen har utsett chefsjuristen till att också vara säkerhetsskyddschef. Tjänsten är direkt underställd kommundirektören och ingår i kommundirektörens ledningsgrupp för Skara kommun.

Om en säkerhetsskyddschef inte har utsetts ska de beslut och uppgifter som ankommer på säkerhetsskyddschefen i stället fattas och utföras av kommundirektören.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddet. Säkerhetsskyddschefen utövar, under kommunstyrelsen, kontroll över att säkerhetsskyddet finns, är tillräckligt och fungerar. Säkerhetsskyddschefen ska vidare samordna skyddet samt säkerställa att berörd personal ges erforderlig utbildning. Kommunens säkerhetssamordnare utgår från nämnden för Samhällsskydd mellersta Skaraborg och är operativ i arbetet med säkerhetsskydd för Skara kommun.

Säkerhetskyddschefen kan inte delegera sitt ansvar för ovan redovisade ämnen.

2.4 Tystnadsplikt

För säkerhetskänsliga verksamheter som bedrivs i offentlig regi gäller bestämmelserna i offentlighets- och sekretesslagen (2009:400).

I säkerhetsskyddslagen finns särskilda bestämmelser om tystnadsplikten hos enskilda verksamhetsutövare. Personal som grund av sin anställning eller på annat sätt har deltagit eller deltar i säkerhetskänslig verksamhet och fått del av säkerhetsskyddsklassificerade uppgifter, eller fått del av uppgifter rörande säkerhetsprövning får inte obehörigen röja eller utnyttja dessa uppgifter.

3. Säkerhetsskydd

3.1 Säkerhetsskyddsanalys

I säkerhetsskyddsanalysen ska säkerhetsskyddsklassificerade uppgifter och de delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet identifieras, även hot och sårbarheter som finns kopplade till identifierade verksamheter och uppgifter.

Av säkerhetsskyddsanalysen ska även framgå en förteckning över de befattningar inom verksamheter som ska inplaceras i säkerhetsklass och genomgå en säkerhetsprövning.

Då säkerhetsskyddsanalysen normalt innehåller uppgifter om svagheter i säkerhetsskyddet omfattas i regel uppgifterna av sekretess enligt 15 kap. 2 § offentlighets- och sekretesslagen.

Säkerhetsskyddsanalys genomförs enligt särskild rutin.

3.1.1 Ansvarsfördelning säkerhetsskyddsanalys

Kommundirektör fastställer kommunens säkerhetsskyddsanalys.

Det praktiska arbetet med säkerhetsskyddsanalysen utförs under säkerhetsskyddschefens ledning av förvaltningarna tillsammans med kommunens säkerhetssamordnare.

3.1.2 Säkerhetsskyddsplan

Efter att en säkerhetsskyddsanalys är fastställd ska verksamheten upprätta en säkerhetsskyddsplan i samverkan med säkerhetsskyddschefen. Planen ska utifrån säkerhetsskyddsanalysen tydliggöra vilka säkerhetsskyddsåtgärder som behöver vidtas. Det ska framgå när åtgärderna ska vidtas och vilka som ansvarar för åtgärderna. Åtgärder som är nödvändiga ska vidtas så snabbt som möjligt.

3.1.2.1 Ansvarsfördelning säkerhetsskyddsplan

Säkerhetsskyddsplanen fastställs av säkerhetsskyddschefen.

3.1.3 Åtgärdsplan

Verksamhetsutövaren ska systematiskt
1. utvärdera om säkerhetsskyddsåtgärderna ger avsedd effekt,
2. identifiera brister och sårbarheter i säkerhetsskyddet, och
3. i övrigt kontrollera och följa upp att verksamheten följer regelverket för säkerhetsskydd.

Verksamhetsutövaren ska i en åtgärdsplan redovisa de åtgärder som behövs för att omhänderta avvikelser. I planen ska det anges vilken funktion som ansvarar för åtgärderna. Planen ska uppdateras löpande.

3.2 Säkerhetsskyddsbedömning och säkerhetsskyddad upphandling

Om kommunen avser överlåta någon del av den säkerhetskänsliga verksamheten eller egendom som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd, ska kommunen göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning. Om skyddsvärdena uppnår säkerhetsskyddsklass HEMLIG eller KVALIFICERAT HEMLIG ska även samråd med tillsynsmyndighet göras.

Säkerhetsskyddsbedömning sker enligt särskild rutin.

3.2.1 Säkerhetsskyddad upphandling

Enligt säkerhetsskyddslagstiftningen ska kommunen innan en upphandling, ingång av avtal eller inledande av samverkan pröva om denna ska omfattas av säkerhetsskyddsavtal. Bedömningen baseras på om aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter av säkerhetshetskyddsklassen konfidentiell eller högre, eller annan verksamhet av motsvarande betydelse för Sveriges säkerhet. Bedöms aktören få tillgång till sådana uppgifter eller verksamheter ska en säkerhetsskyddad upphandling med säkerhetsskyddsavtal upprättas med leverantör och/eller underleverantör.

Om aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter, eller annan verksamhet, i högst säkerhetsskyddsklassen begränsat hemlig ska kommunen ingå en säkerhetsskyddsöverenskommelse med aktören.

Säkerhetsskyddsavtalet/säkerhetsskyddsöverenskommelsen ska ingås innan aktören kan få tillgång till den säkerhetskänsliga verksamheten.

Säkerhetsskyddad upphandling sker enligt särskild rutin.

3.3 Informationssäkerhet

För att ta del av säkerhetskänsliga uppgifter som har betydelse för totalförsvaret eller för Sveriges säkerhet måste en person vara säkerhetsklassad (se avsnitt 3.5). Med uppgift avses all information oavsett i vilken form eller hur den behandlas, till exempel fysiskt på papper, muntligt eller elektroniskt lagrad.

I informationssäkerheten innefattas administrativ säkerhet, vilket innebär att kommunen ska ha rutiner som följs beträffande sekretessbelagda uppgifter som har betydelse för Sveriges säkerhet, för att garantera att god säkerhet tryggas vid handläggning.

Kommunen ska även ha rutiner och vidta skyddsåtgärder för att upptäcka, försvåra och hantera skadlig påverkan på informationssystemen, samt vidta skyddsåtgärder mot obehörig avlyssning, åtkomst och nyttjande på informationssystem som ska användas i säkerhetskänslig verksamhet.

Hantering av säkerhetsskyddsklassificerade handlingar sker enligt särskild rutin.

Kommunens arbete med informationssäkerhet beskrivs mer ingående i Skara kommuns policy och riktlinje för informationssäkerhet.

3.3.1 Säkerhetsskyddsklassificering

Säkerhetsskyddsklassificerade uppgifter ska enligt 2 kap 5§ säkerhetsskyddslagen delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen ska göras enligt följande:

1. Kvalificerat hemlig vid en synnerligen allvarlig skada
2. Hemlig vid en allvarlig skada
3. Konfidentiell vid en inte obetydlig skada, eller
4. Begränsat hemlig vid endast ringa skada

En säkerhetskyddsklassificerad handling ska förses med anteckning om den säkerhetskyddsklass som uppgifterna i handlingen har. Det är uppgifterna med högsta säkerhetskyddsklass i handlingen som ska avgöra vilken anteckning som handlingen ska ha.

3.3.2 IT-säkerhet

Säkerhetsskyddet ska tillgodoses i och kring de IT-system som utvecklas och används inom kommunens verksamheter. Kommunen ska därför i en säkerhetskyddsbedömning (se avsnitt 3.2) ta ställning till vilka säkerhetskrav som är motiverade och se till att säkerhetsskyddet utformas enligt de kraven, innan ett informationssystem med betydelse för säkerhetskänslig verksamhet tas i drift.

3.3.2.1 Ansvarsfördelning IT-säkerhet

Informationssystem som ska användas i säkerhetskänslig verksamhet ska godkännas av säkerhetskyddschefen innan det tas i drift. Godkännandet ska dokumenteras.

3.4 Fysisk säkerhet

Fysisk säkerhet innebär att hindra obehöriga att få tillgång till olika områden, till exempel platser eller anläggningar där det finns säkerhetsskyddsklassificerade uppgifter eller där det bedrivs säkerhetskänslig verksamhet i övrigt som har betydelse för Sveriges säkerhet. Fysisk säkerhet ska även förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.

I kommunen ska finnas funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov.

Den fysiska säkerheten kan till exempel regleras på följande sätt:

• Koder och nycklar för olika förvaringsutrymmen och platser.
• Byggnadstekniska åtgärder kan vara att en byggnad har delats in i olika sektioner. Det kan också vara uppsatta lås, stängsel och larm samt kameraövervakning.
• Inre och yttre bevakning innebär rutiner och åtgärder för att kontrollera att ingen obehörig finns kvar i byggnaden eller i närområdet.
• Passerkontroll, passerkort med tillhörande personliga koder eller vakter som kontrollerar och registrerar in- och utpasserande.

3.5 Personalsäkerhet

Enligt 3 kap 1§ säkerhetsskyddslagen ska den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet säkerhetsprövas och säkerhetsklassas. Säkerhetsprövning ska dock enligt 3 kap 10§ säkerhetsskyddslagen ske endast om behov av säkerhetsskydd inte kan tillgodoses på annat sätt.

Säkerhetsprövning ska göras i samband med beslut om anställning eller innan annat deltagande i den säkerhetskänsliga verksamheten påbörjas. Prövningen innebär dock inte automatiskt att de befattningar dessa personer kan inneha ska vara säkerhetsklassade.

Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. I säkerhetsprövningen ingår att utreda lojalitet, pålitlighet och sårbarheter genom en grundutredning, registerkontroll och särskild personutredning.

Säkerhetsprövning sker enligt särskild rutin.

3.5.1 Säkerhetsprövning av förtroendevalda

Förtroendevalda i kommunstyrelsen eller i en nämnd ska genomgå säkerhetsprövning om de ska delta i säkerhetskänslig verksamhet eller ta del av säkerhetsskyddsklassificerad information. I säkerhetsskyddsanalysens befattningsanalys framgår det vilka befattningar i verksamheten som deltar i säkerhetskänslig verksamhet eller tar del av säkerhetsskyddsklassificerad information.

3.5.2 Utbildning och tillsyn

Det viktigaste med ett effektivt säkerhetsskyddsarbete är att personalen får information och utbildning i säkerhetsskydd relevant för deras arbetsuppgifter och ansvar, innan personalen får åtkomst till den säkerhetskänsliga verksamheten. Syftet är att personalen ska göra bättre bedömningar av skyddsåtgärder mot olika slags hot. Utbildning ska även ges regelbundet i den omfattning som behövs.

3.5.3 Utbildningskrav

Säkerhetsskyddschefen ska genomgå adekvat utbildning för funktionen säkerhetsskyddschef.

Personal som ska hantera säkerhetsskyddsklassificerad information ska genomgå utbildning enligt gällande Rutin för säkerhetsprövning och säkerhetsklassning.

4. Incidenthantering

Om det förekommer misstanke om eller konstaterat fall av oegentligheter eller missbruk som berör säkerhetsskyddet ska det anmälas omgående till närmast behörig chef eller säkerhetsskyddschef. Med oegentligheter menas oönskade avsiktliga/medvetna beteenden/handlingssätt.

Säkerhetsskyddschefen och säkerhetssamordnare utreder incidenten och vidtar lämpliga åtgärder. Om det av utredningen framgår att det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift, eller annan allvarlig säkerhetshotande verksamhet, har röjts ska detta skyndsamt anmälas till Säkerhetspolisen.

Om det inträffat en IT-incident som påverkar säkerheten i system som berör säkerhetskänslig verksamhet och det finns skäl att anta att en säkerhetskyddsklassificerad uppgift har otillåtet röjts, eller om det finns misstanke om annan allvarlig säkerhetshotande verksamhet, ska kommunen skyndsamt anmäla detta till Säkerhetspolisen.

Incidenthantering sker enligt särskild rutin.