Säkerhetsskyddsanalys
Alla som till någon del bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd och dokumentera det i en säkerhetsskyddsanalys. På denna sida kan du läsa om vad analysen ska innehålla, och vilken roll den spelar vid en säkerhetsskyddad upphandling.
Innehåll på denna sida
Säkerhetsskyddsanalysens syfte och innehåll
Den verksamhetsövergripande säkerhetsskyddsanalysen ska bland annat ge svar på
- vad som ska skyddas
- vad skyddet ska skydda mot
- hur skyddet ska se ut
Säkerhetsskyddsanalysen ska innehålla en verksamhetsbeskrivning med specificering av vilka delar av verksamheten som är av betydelse för Sveriges säkerhet. Den ska vidare identifiera vilka skyddsvärden (i form av säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet i övrigt) som finns i den säkerhetskänsliga verksamheten samt identifiera säkerhetshot kopplade till och sårbarheter för respektive skyddsvärde och den säkerhetskänsliga verksamheten i stort.
Arbetet med den verksamhetsövergripande säkerhetsskyddsanalysen ska inte ses som en engångsinsats. Det är ett kontinuerligt och pågående arbete som innebär att säkerhetsskyddsanalysen måste hållas uppdaterad.
Analysen ligger till grund för säkerhetsskyddet
Din organisation kan bedöma om er verksamhet omfattas av säkerhetsskyddslagen (2018:585) bara om ni först gjort en korrekt analys av verksamhetens skyddsvärden.
De skyddsvärden, hot och sårbarheter ni identifierat ska sedan ligga till grund för en bedömning i säkerhetsskyddsanalysen av vilka säkerhetsskyddsåtgärder som är nödvändiga, inom de tre olika kategorierna:
- informationssäkerhet
- fysisk säkerhet
- personalsäkerhet
Säkerhetsskyddsanalysen är således grunden till säkerhetsskyddet och dess utformning. Säkerhetsskyddsanalysen kan även fungera som ett underlag för diskussion och äskande av de resurser och tid som krävs för säkerhetsåtgärderna samt i budgetering för åtgärderna. Det är därför viktigt att lägga tid på den för att komma fram till var skyddet är viktigt och var det inte behövs. Det blir dyrt att ha ett överdrivet säkerhetsskydd, och i vissa fall kan det även strida mot olika regelverk. Det är avgörande att skydda rätt saker.
Använd analysen som utgångspunkt vid bedömningar inför upphandlingar
Vidare utgör säkerhetsskyddsanalysen med dess bedömningar kring skyddsvärden och behov av säkerhetsskydd ett viktigt underlag i arbetet inför upphandling. Analysen kan nämligen fungera som en utgångspunkt i den bedömning ni som upphandlande organisation ska göra inför en upphandling som kräver säkerhetsskyddsavtal, så kallad särskild säkerhetsskyddsbedömning.
Säkerhetsskyddsplan med konkreta åtgärder
Efter att säkerhetsskyddsanalysen är fastställd ska ni upprätta en konkret åtgärdsplan i form av en säkerhetsskyddsplan. Säkerhetsskyddsplanen ska redogöra för
- hur organisationen ska tillgodose behovet av säkerhetsskyddsåtgärder som identifierats i säkerhetsskyddsanalysen
- när åtgärderna ska vidtas
- vilken funktion som ansvarar för dem.
Länkar för fördjupning
Du kan läsa mer om säkerhetsskyddsanalys i Säkerhetspolisens information om säkerhetsskyddsanalys.
- 2 kap. 1 § säkerhetsskyddsförordningen (2018:658) och 2 kap. 1–9 §§ PMFS 2022:1
- 2 kap. 1–4 §§ säkerhetsskyddslagen (2018:585)
- Ett starkare skydd för Sveriges säkerhet, prop. 2020/21:194, sid. 20
- Ett modernt och stärkt skydd för Sveriges säkerhet, prop. 2017/18:89, sid. 56
- 2 kap. 12 § PMFS 2022:1 och sid. 67 i prop. 2017/18:89