Informationssäkerhet – ny vägledning från Säpo
Publicerat av: Kalle Lindholm ·
Hantering av uppgifter blir allt viktigare i dagens informationssamhälle då information är en av de värdefullaste tillgångarna för verksamheter. Vägledning för informationssäkerhet vänder sig till säkerhetskänslig verksamhet, eller till utövare som ska genomföra samråd inför driftsättning av informationssystem i enlighet med säkerhetsskyddsförordningen (2021:955).
Syftet med vägledningen är framför allt att tydliggöra bestämmelser i tredje och fjärde kapitlen i Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1).
Säkerhetsskyddslagen i grunden
Grunden i ett informationssäkerhetsarbete är att arbetet bedrivs systematiskt. Vägledning är avgränsad till säkerhetsskyddsåtgärden informationssäkerhet. För majoriteten av verksamhetsutövare omfattas endast delar av verksamheten av säkerhetsskyddslagen och dess krav på säkerhetsskyddsåtgärder.
Informationssäkerhet bygger på följande tre begrepp:
- Konfidentialitet: att förhindra att obehöriga får tillgång till information.
- Riktighet: att det går att lita på att den information som används i verksamheten är korrekt och inte manipulerad.
- Tillgänglighet: att säkerställa att informationen är tillgänglig när den behövs.
Vid sidan av de tre aspekterna som nämns ovan tillkommer spårbarhet, det vill säga att kunna spåra utförda aktiviteter till en identifierad användare eller system.
Rätt befattningsanalys och inplacering i säkerhetsklass
– Att notera är vikten av att befattningsanalys och eventuell inplacering i säkerhetsklass ligger i linje med företagets säkerhetsskyddsanalys och säkerhetsskyddsklassning. Placering i säkerhetsklass ska ha stöd i lagstiftningen och användas restriktivt, bland annat på grund av det integritetsintrång som följer med en registerkontroll, säger Emma Johansson som är säkerhetsansvarig hos Energiföretagen.
Konsekvensnivåerna för säkerhetsskyddsklassificerade uppgifter har tagits bort. Däremot har definitionerna för säkerhetsskyddsklasserna förtydligats med beskrivande värdeord till stöd för bedömningen. Fortfarande gäller indelning i fyra säkerhetsskyddsklasser (begränsat hemlig, konfidentiell, hemlig och kvalificerat hemlig), utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet.
Läs Säpos nya vägledning från oktober 2023 här
Kontakta mig om du vill veta mer
Emma Johansson
Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se