Riktlinjer för säkerhetsskydd i Härjedalens kommun

Fastställd av kommunstyrelsen 11 november 2020 § 296.
Diarienummer KS 2020/815.

Inledning

Verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktigande internationellt åtagande om säkerhetsskydd utgör säkerhetskänslig verksamhet och omfattas av regelverket kring säkerhetsskydd.

Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.

Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.

Syfte

Denna riktlinje fastställer hur arbetet med säkerhetsskydd ska bedrivas vid Härjedalens kommun.

Syftet med riktlinjen är att beskriva hur myndigheten avser att följa gällande säkerhetsskyddslagstiftning och på vilket sätt Härjedalens kommun ska arbeta med säkerhetsskydd i sina verksamheter. Riktlinjen tydliggör ansvarsförhållanden för säkerhetsskyddets olika delar och säkerställer att detta är kommunicerat till berörda verksamheter.

Bestämmelserna i denna riktlinje kompletteras med rutiner som närmare beskriver delar av säkerhetsskyddsarbetet.

Mål

Arbetet med säkerhetsskydd i Härjedalens kommun ska bedrivas samordnat, utvecklas över tid och utvärderas i samband med uppdatering av säkerhetsskyddsanalys.

Härjedalens kommun ska säkerställa att resurser och kompetens finns tillgängliga i den utsträckning som krävs för att upprätthålla säkerhetsskyddet.

Säkerhetsskyddsorganisation och ansvar

Vilket ansvar respektive organisationsdel har

Organisationsdel

Roller och ansvar

Kommunstyrelse

- Har det yttersta ansvaret för säkerhetsskyddet vid Härjedalens kommun

- Ska delta i utbildningar inom saäkerhetsskydd

- Ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen


Kommunchef

- Ansvarar för det övergripande arbetet med säkerhetsskydd

- Fastställer sälerhetsskyddsanalys

- Deltar i utbildningar inom säkerhetsskydd

- Ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen

Säkerhetsskyddschef

- Ansvarar för att kontrollera att verksamheten bedrivs i enlighet med säkerhetsskyddslagstiftning och styrande dokument

- Är i sin roll direkt underställd kommunchefen

- Primär kontaktperson i säkerhetsskyddsfrågor gentemot Säkerhetspolisen

- Bistår i bedömningar inom säkerhetsskyddsområdet

- Fastställer säkerhetsskyddsplan

- Deltar i säkerhetsprövning

- Ansvarar för incidentrapportering till ansvarig myndighet

- Deltar i utbildningar inom säkerhetsskydd

- Ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen

- Säkerhetsskyddschefen kan delegera utförandet av delar av sina uppgifter inom säkerhetsskyddsorganisationen

Förvaltningschef, VD och motsvarande

- Ansvarar för att den egna verksamheten bedrivs i enlighet med gällande lagstiftning, säkerhetsskyddsanalys, säkerhetsskyddsplan och styrande dokument

- Ansvarar för att regelverk och styrande dokument är väl kända i egen verksamhet

- Ansvarar för att avsätta tillräckliga resurser i arbetet med säkerhetsskydd som exempelvis: säkerhetsskyddsanalys, säkerhetsskyddsplan och säkerhetsskyddsinstruktion

- Ansvarar för att ha rutiner och funktioner för att upprätthålla kontinuitet i säkerhetskänslig verksamhet

- Ansvarar för att genomföra identifierade säkerhetsskyddsåtgärder inom sin verksamhet

- Ansvarar för att delge säkerhetsskyddschefen information om säkerhetshot och samverka med denne kring sådana hot

- Ansvarar för att till säkerhetsskyddschefen lyfta frågor kring upphandling som kan röra säkerhetskänslig verksamhet

- Ansvarar för att till säkerhetsskyddschefen anmäla sådana förändringar i egen verksamhet som kan påverka säkerhetskänslig verksamhet

- Ansvarar för att till säkerhetsskyddschefen anmäla förändringar i verksamhetssystem som kan påverka säkerhetskänslig verksamhet 


- Deltar i utbildningar inom säkerhetsskydd

- Ansvarar för att berörd personal deltar i utbildningar och genomgår säkerhetsprövning

- Ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen

Säkerhetssamordnare

- Samordnar och utvecklar arbetet inom säkerhetsskydd i kommunen

- Ansvarar för interna utbildningar inom säkerhetsskyddsområdet

- Deltar i arbete med säkerhetsskyddsanalys

- Deltar i arbete med säkerhetsskyddsplaner

- Tar fram utkast för styrande dokument och rutiner

- Deltar i säkerhetsprövning

- Ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen

Biträdande signalskyddschef

- Ansvarar för att signalskyddsrutin finns upprättad och är delgiven behörig personal

- Är i sin roll underställd signalskyddschef

- Ansvarar för kommunens signalskyddsorganisation

- Ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen

HR

- Kommunens HR-avdelning ansvarar för att bistå vid säkerhetsprövning

- Ansvarar för stöd i hanteringen av personalfrågor som kan uppkomma till följd av säkerhetsprövning

- Ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen

IT-organisation

- Ansvarar för att bistå i arbetet med IT-säkerhet kopplat till säkerhetsskydd

- Ansvarar för att till säkerhetsskyddschefen anmäla sådana förändringar i verksamheten som kan röra säkerhetskänslig verksamhet, oavsett om det rör egen verksamhet eller andras verksamhet

- Ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen

Upphandlingssamordnare

- Ansvarar för att bistå i upphandlingar som omfattas av krav på säkerhetsskyddad upphandling

- Ansvarar för att meddela säkerhetsskyddschefen om aviserade behov av upphandling som skulle kunna omfattas av krav på säkerhetsskyddad upphandling

- Ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen

Medarbetare

- Samtliga medarbetare ansvarar för att Härjedalens kommuns säkerhetskänsliga verksamhet skyddas i enlighet med säkerhetsskyddslagstiftningen

- Deltar i utbildning inom säkerhetsskyddsområdet

- Medarbetare ska bidra till att utveckla och upprätthålla en god säkerhetskultur i kommunen.

Säkerhetsskyddets omfattning

Säkerhetsskyddsanalys

Härjedalens kommun ska genomföra en säkerhetsskyddsanalys för att identifiera vilka skyddsvärden som finns i verksamheten:

  • Vilka säkerhetsskyddsklassificerade uppgifter och den totala mängden sådana uppgifter som finns i verksamheten
  • Vilka för Sverige förpliktande internationella åtaganden om säkerhetsskydd som finns i verksamheten
  • Vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten

Analysen ska fastställas av kommunchefen och uppdateras vid behov, dock minst en gång vartannat år.

Säkerhetskänslig verksamhet ska delas in i konsekvenskategorier och graderas i konsekvensnivåer. Den ska också bedömas utifrån tre perspektiv.

Konsekvenskategorier

Skada för Sveriges yttre säkerhet

Skada för Sveriges inre säkerhet

Skada på nationell samhällsviktig verksamhet

Skada för Sveriges ekonomi

Skadegenererande verksamhet

Konsekvensnivåer

Nivå 5: Synnerligen allvarlig skada för Sveriges säkerhet

Nivå 4: Allvarlig skada för Sveriges säkerhet

Nivå 3: Inte obetydlig skada för Sveriges säkerhet

Nivå 2: Ringa skada för Sveriges säkerhet

Nivå 1: Inte mätbar eller inte relevant konsekvens med bäring på Sveriges säkerhet

Perspektiv

Konfidentialitet -Att förhindra att information röjs för obehöriga

Tillgänglighet -Att informationen är korrekt och inte manipulerad

Riktighet -Att informationen är tillgänglig när den behövs

Säkerhetsskyddsplan

Härjedalens kommun ska upprätta säkerhetsskyddsplan grundad i säkerhetsskyddsanalysen. Planen ska beskriva vilka åtgärder som behöver vidtas för att skydda den säkerhetskänsliga verksamheten. Av planen ska framgå när åtgärderna ska vidtas och vem som ansvarar för dem. Säkerhetsskyddsplanen fastställs av säkerhetsskyddschefen. Säkerhetsskyddsplanen ska uppdateras i samband med uppdatering av säkerhetsskyddsanalysen.

Säkerhetsskyddsinstruktion

Verksamhetsutövare vid Härjedalens kommun som genom säkerhetsskyddsanalys konstaterats bedriva säkerhetskänslig verksamhet ska beskriva hur denne uppfyller kravet på säkerhetsskydd enligt lagstiftning, denna riktlinje och övriga rutiner inom området säkerhetsskydd. I framtagande av säkerhetsskyddsinstruktionen ska samverkan ske med säkerhetsskyddschefen. Verksamhetsutövarens chef ska godkänna säkerhetsskyddsinstruktionen och säkerställa att den hålls uppdaterad och känd hos berörd personal.

Säkerhetsskyddad upphandling

Upphandling eller avtal som berör säkerhetskänslig verksamhet kan omfattas av krav på säkerhetsskyddsavtal. Verksamhetsutövare i Härjedalens kommun ansvarar för att genomföra en särskild säkerhetsskyddsbedömning inför större förändringar i verksamheten, upphandling eller avtal och ska så snart möjligt underrätta säkerhetsskyddschefen för att kunna få hjälp med en bedömning av behov av säkerhetsskyddsavtal.

Informationssäkerhet

Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Informationssäkerhet ska även förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Säkerhetsskyddsklasser

Säkerhetsskyddsklassificerade uppgifter ska delas in i någon av de fyra säkerhetsskyddsklasserna:

Kvalificerat hemlig -Synnerligen allvarlig skada

Hemlig -Allvarlig skada

Konfidentiell -En inte obetydlig skada

Begränsat hemlig -Endast ringa skada

Behandling av säkerhetsskyddsklassificerade uppgifter

Säkerhetsskyddsklassificerade uppgifter ska alltid hanteras i enlighet med gällande lagstiftning och interna rutiner. Uppgifterna ska förvaras inlåsta i utrymme godkänt av säkerhetsskyddschef. När uppgifter hanteras ska dessa hållas under ständig uppsikt och omedelbart efter hantering låsas in igen.

Informationssäkerhet i informationssystem

Säkerhetsskyddsklassificerade uppgifter i en viss säkerhetsskyddsklass får endast behandlas i informationssystem eller på lagringsmedium som säkerhetsskyddschef har godkänt för lägst den säkerhetsskyddsklass som uppgifterna har. Godkännandet ska vara skriftligt och sparas.

Verksamhetsutövare får inte ta ett informationssystem som har betydelse för säkerhetskänslig verksamhet i drift förrän säkerhetsskyddschefen har godkänt det från säkerhetsskyddssynpunkt. Godkännandet ska vara skriftligt och sparas.

Övriga bestämmelser regleras i Rutin för säkerhetsskydd – Informationssäkerhet vid Härjedalens kommun

Fysisk säkerhet

Fysisk säkerhet ska förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs och även förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.

Verksamhetsutövaren ska i samråd med säkerhetsskyddschef säkerställa att områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs, är försedda med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov. Detta ska ske innan verksamhetsutövaren får del av säkerhetsskyddsklassificerade uppgifter eller den säkerhetskänsliga verksamheten påbörjas.

Verksamhetsutövaren får inte utan säkerhetsskyddschefens skriftliga godkännande byta eller använda andra lokaler eller utrymmen för säkerhetskänslig verksamhet.

Övriga bestämmelser regleras i Rutin för säkerhetsskydd – Fysisk säkerhet vid Härjedalens kommun.

Skyddsobjekt

Skyddslagen (2010:305) innehåller bestämmelser om åtgärder till förstärkt skydd för byggnader, andra anläggningar, områden och andra objekt mot sabotage, terroristbrott, spioneri och grovt rån. Beslut om att något ska vara skyddsobjekt fattas i kommunens fall av Länsstyrelsen.

Personalsäkerhet

Personalsäkerhet ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig och säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

Säkerhetsskyddsklassificerade uppgifter får endast delges personer som har säkerhetsprövats och, om deltagandet har placerats i säkerhetsskyddsklass, registerkontrollerats samt godkänts ur säkerhetssynpunkt av säkerhetsskyddschef.

Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är endast den som:

  1. har bedömts pålitlig från säkerhetssynpunkt,
  2. har tillräckliga kunskaper om säkerhetsskydd, och
  3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten.

Övriga bestämmelser regleras i Rutin för säkerhetsskydd – Personalsäkerhet vid Härjedalens kommun.

Säkerhetsklasser

Säkerhetsklass 1: Får del av uppgifter i säkerhetsskyddklassen kvalificerat hemlig i en omfattning som inte är ringa eller har genom sitt deltagande i verksamheten möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet. Krav på svenskt medborgarskap.

Säkerhetsklass 2: Får del av uppgifter i säkerhetsskyddsklassen hemlig som inte är ringa och i ringa omfattning del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig eller har genom sitt deltagande i verksamheten möjlighet att orsaka allvarlig skada för Sveriges säkerhet. Krav på svenskt medborgarskap.

Säkerhetsklass 3: Får del av uppgifter i säkerhetsskyddsklassen konfidentiell och i ringa omfattning del av uppgifter i säkerhetsskyddsklassen hemlig eller har genom sitt deltagande i verksamheten möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet.

Signalskydd

Endast behörig personal får hantera signalskyddsmateriel. Behörig är den som genomgått nödvändig utbildning, godkänts av biträdande signalskyddschef samt säkerhetsprövats och inplacerats i säkerhetsklass. Biträdande signalskyddschef ansvarar för signalskyddsorganisationen vid Härjedalens kommun.

Överlåtelse av säkerhetskänslig verksamhet

Den som avser att överlåta säkerhetskänslig verksamhet till en enskild ska, innan ett förfarande för överlåtelse inleds, anmäla det till Säkerhetspolisen.

Verksamhetsutövaren ska upplysa den enskilde om att säkerhetsskyddslagen (2018:585) gäller för verksamheten och påminna om de skyldigheter som gäller för den som är ansvarig för en säkerhetskänslig verksamhet.

Sekretess och tystnadsplikt

Den som deltar i säkerhetskänslig verksamhet kan få ta del av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400). Verksamhetsutövaren åtar sig att inte obehörigen röja eller utnyttja uppgifter som omfattas av sekretess.

Verksamhetsutövaren åtar sig att informera och tillse att varje person hos verksamhetsutövaren som är säkerhetsprövad enligt denna riktlinje följer denna bestämmelse.

Den som deltar i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. Varje person hos verksamhetsutövaren som är säkerhetsprövad enligt denna riktlinje ska underteckna en erinran om tystnadsplikt. Erinran om tystnadsplikt ska sparas.

Uppföljning och kontroll

Verksamhetsutövarens kontroll

Verksamhetsutövaren ska fortlöpande kontrollera att endast behöriga personer deltar i den säkerhetskänsliga verksamheten.

Verksamhetsutövaren ska fortlöpande kontrollera att säkerhetsskyddet avseende informationssäkerhet, fysisk säkerhet och personalsäkerhet upprätthålls samt att skyddsnivån är jämn och tillräckligt hög. I detta arbete ingår att hålla säkerhetsskyddsinstruktionen uppdaterad.

Anmälan av säkerhetshot

Verksamhetsutövaren ska skyndsamt anmäla säkerhetshotande händelser till säkerhetsskyddschefen, såväl inträffade som befarade. Detta kan exempelvis vara om en säkerhetsskyddsklassificerad uppgift har eller kan ha röjts, om det inträffat en incident kopplat till ett informationssystem som har betydelse för säkerhetskänslig verksamhet eller om verksamhetsutövaren får kännedom eller misstanke om någon annan om någon annan omständighet som kan vara av betydelse ur säkerhetssynpunkt.

Förändringar i verksamhet

Verksamhetsutövaren ska skyndsamt och i god tid anmäla förändringar i verksamheten som kommer eller kan komma att påverka säkerhetskänslig verksamhet. Sådan förändring kan exempelvis vara byte av lokaler, införande av informationssystem, avtal eller upphandling. Anmälan sker till säkerhetsskyddschefen.

Säkerhetsskyddschefens kontroll

Säkerhetsskyddschefen äger alltid rätt att kontrollera att verksamhetsutövaren bedriver sin verksamhet i enlighet med säkerhetsskyddslagstiftningen. Säkerhetsskyddschefen äger motsvarande rätt att kontrollera att verksamhetsutövaren uppfyller säkerhetsskyddsinstruktionens krav.

Rutin för vad som ska redovisas och hur ofta ska ingå i verksamhetsutövarens säkerhetsskyddsinstruktion.

Anmälan av säkerhetshot till Säkerhetspolisen

Härjedalens kommun ska skyndsamt anmäla till Säkerhetspolisen:

  • Om säkerhetsskyddsklassificerade uppgifter kan ha röjts
  • Om en IT-incident inträffat i ett informationssystem som har betydelse för säkerhetskänslig verksamhet
  • Om det finns kännedom eller misstanke om någon annan allvarlig säkerhetshotande verksamhet

Säkerhetsskyddschefen ansvarar för att anmälan görs.

Ekonomi

Kostnader inom området säkerhetsskydd kan uppkomma som ett resultat av säkerhetsskyddsanalyser och säkerhetsskyddsplaner. Sådana kostnader belastar respektive förvaltning, bolag eller motsvarande. Kommunen tilldelas vissa statliga medel för arbete med civilt försvar, där säkerhetsskydd ingår. Regler för hur dessa medel får användas finns i den överenskommelse om kommunernas arbete med civilt försvar som tecknats mellan Sveriges kommuner och regioner, SKR, och Myndigheten för samhällsskydd och beredskap, MSB[1].

Om dokumentet

Denna riktlinje har beslutats av kommunstyrelsen i Härjedalens kommun. Säkerhetsskyddschefen är dokumentansvarig. Varje chef inom den verksamhet som berörs av riktlinjen ansvarar för att dess innehåll är känt bland medarbetarna.

Riktlinjen följs upp vid behov av dokumentsansvarig.

Relaterade dokument

Relaterade dokument är under framtagande och planeras omfatta:

Rutin för säkerhetsskydd - Informationssäkerhet vid Härjedalens kommun

Rutin för säkerhetsskydd– Fysisk säkerhet vid Härjedalens kommun

Rutin för säkerhetsskydd - Personalsäkerhet vid Härjedalens kommun

Rutin för säkerhetsskydd– Hantering av säkerhetsskyddsklassificerade uppgifter vid Härjedalens kommun

Rutin för säkerhetsskydd– Säkerhetsskyddad upphandling vid Härjedalens kommun

Lagstiftning

Säkerhetsskyddslag (2018:585)

Säkerhetsskyddsförordning (2018:658)

Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2)

[1] Överenskommelse om kommunernas arbete med civilt försvar, SKL 18/01807

Senast uppdaterad: 1 november 2022 16:09
Redaktör för sidan: Sarah Tjärnås
Faktaansvarig (syns endast i edit-läge): Saknas