Säkerhetskydd

Säkerhetsskydd är en förutsättning för att skydda säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Weop har tung spetskompetens inom säkerhetsskyddets alla delar innefattande planering och styrning av säkerhetsskyddsarbetet, informationssäkerhet, fysisk säkerhet, personalsäkerhet samt säkerhetsskyddade upphandlingar med säkerhetsskyddsavtal (SUA).

Säkerhetskyddsplanering

Weop hjälper myndigheter och företag med planering och styrning av säkerhetsskyddsarbetet genom att inrätta funktioner och planer med åtgärder för hur verksamheten ska bedriva sitt säkerhetsskyddsarbete på ett korrekt och systematiskt sätt.

I arbetet med funktioner ingår att utse en säkerhetsskyddschef och biträdande roller som bistår med säkerhetsskyddsarbetet. I arbetet med planer ingår att ta fram en handlingsplan för vilket underlag som ska tas fram, när det ska tas fram och av vem det ska tas fram i form av t.ex. säkerhetsskyddsanalys, säkerhetsskyddsplan och säkerhetsskyddsbestämmelser.

Säkerhetskyddsanalys och säkerhetsskyddsplan

Weop hjälper den som bedriver säkerhetskänslig verksamhet att ta fram en dokumenterad säkerhetsskyddsanalys i syfte att utreda behov av säkerhetsskydd. Weop har utvecklat ett metodstöd för säkerhetsskyddsanalys utifrån både Försvarsmaktens och Säkerhetspolisens föreskrifter och vägledningar. I analysen identifieras vad som ska skyddas genom en verksamhetsanalys och att identifiera och bedöma skyddsvärden, mot vad det ska skyddas genom en hotanalys samt hur det ska skyddas genom en sårbarhetsbedömning och förslag på säkerhetsskyddsåtgärder.

De förslag på säkerhetsskyddsåtgärder som anges i säkerhetsskyddsanalysen omsätts sedan mer i detalj i en säkerhetsskyddsplan där även ansvariga utses för respektive åtgärd och en tidplan anges för när åtgärderna ska påbörjas och vara genomförda.

Säkerhetsskyddsbestämmelser och säkerhetsskyddsinstruktioner

Myndigheter och företag som bedriver säkerhetskänslig verksamhet ska upprätta interna säkerhetsskyddsbestämmelser för hur arbetet i verksamheten ska bedrivas med hänsyn till säkerhetsskydd. Det innefattar rutiner och regler för informationssäkerhet i form av bl.a. upprättande, förvaring och delgivning av säkerhetsskyddsklassificerade handlingar, fysisk säkerhet i form av passerkontroll, bevakning och besöksrutiner, personalsäkerhet i form av säkerhetsprövning, registerkontroll och utbildning inom säkerhetsskydd samt rutiner vid säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) och incidentrapportering.

Inom ramen för ett särskilt projekt som omfattas av krav på säkerhetsskydd kan även specifika riktlinjer upprättas för hur arbetet ska bedrivas med hänsyn till säkerhetsskydd i en särskild säkerhetsskyddsinstruktion. Det kan även röra en leverantör som inom ramen för en säkerhetsskyddad upphandling med säkerhetsskyddsavtal måste upprätta en säkerhetsskyddsinstruktion för hur de efterlever de krav på säkerhetsskydd som den upphandlande myndigheten ställer.

Säkerhetsskyddsutbildningar

Den som deltar i säkerhetskänslig verksamhet ska få relevant utbildning i säkerhetsskydd innan personen får tillgång till verksamheten. Sådan utbildning ska sedan genomföras regelbundet i den omfattning som krävs och deltagandet dokumenteras. Weop har lång erfarenhet från att ta fram och genomföra utbildningar i säkerhetsskydd. Omfattning och innehåll anpassas efter verksamhetens preferenser och behov, men normalt ingår: grunder i säkerhetsskydd, hotbild och verksamhetens arbete med säkerhetsskydd (organisation, säkerhetsskyddsbestämmelser osv.).

Personalsäkerhet – säkerhetsprövning

Den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas innan denne påbörjar sin tjänst. Weop erbjuder metoder, utbildningar och genomförande av säkerhetsprövningsintervjuer, referenstagningar och framställan om registerkontroll.

Stöd vid säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA)

Weop stödjer myndigheter och företag som ska genomföra en säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) med rutiner för förfarandet, utbildning inom förfarandet samt framtagande av ingående delar (beroende på nivå) såsom särskild säkerhetsskyddsbedömning, samråd med berörd tillsynsmyndighet, förstagångsbesök, säkerhetsskyddsavtal, säkerhetsprövning, utbildning osv. Weop stödjer även leverantörer som ska ingå ett säkerhetsskyddsavtal med utbildning, säkerhetsskyddsinstruktion och liknande.

Informationssäkerhet

Informationssäkerhet är en förutsättning för effektiv och korrekt informationshantering för att säkerställa att information som är värdefull för verksamheten av sekretesskäl, säkerhetsskäl eller andra skäl finns tillgänglig när vi behöver den (tillgänglighet), är korrekt och inte manipulerad eller förstörd (riktighet) samt endast är tilldelad behöriga personer (konfidentialitet). Weop har gedigen erfarenhet att hjälpa aktörer som bedriver både säkerhetskänslig och samhällsviktig verksamhet med att identifiera behov av åtgärder för att skydda uppgifter och informationssystem.

Informationssäkerhetsanalyser och informationsvärdering

Weop tar fram och dokumenterar informationssäkerhetsanalyser där det första steget är att hjälpa myndigheter och företag med att identifiera verksamhetens informationstillgångar genom en verksamhetsanalys. Därefter ska informationstillgångarna värderas utifrån en konsekvensbedömning och klassificeras enligt verksamhetens informationsklasser (om sådana finns). Med utgångspunkt i detta gör man sedan en riskanalys för att identifiera hot mot verksamheten och informationen, samt en GAP-analys där man identifierar brister och sårbarheter i det befintliga skyddet av informationstillgångarna. Detta resulterar till sist i förslag på åtgärder för att förbättra skyddet av informationen.

Införande av ledningssystem för informationssäkerhet

För att bedriva ett fullgott informationssäkerhetsarbete hjälper Weop myndigheter och företag med att införa ledningssystem för informationssäkerhet (LIS). LIS är olika processer för styrning och ledning av arbetet med informationssäkerhet och innefattar framtagande av policys, instruktioner, processer och tillhörande resurser. Weop utgår ifrån ISO 27000 vid införandet av LIS.

Utbildning inom informationssäkerhet

Weop tar fram och genomför utbildningar inom informationssäkerhet utifrån verksamhetens preferenser för att utbilda personal inom bl.a. roller och ansvar, processer och riktlinjer samt lagar och regler inom området.

NIS

Ett allt mer digitaliserat samhälle blir också mer exponerat mot yttre hot. Sedan 2018 är NIS-direktivet lag i Sverige, mer känd som NIS-lagen. Lagen syftar till att höja lägstanivån på informationssäkerheten bland leverantörer av samhällsviktiga tjänster för att möta dagens hotbild. Tillsammans med MSB:s och tillsynsmyndigheternas föreskrifter, råd och vägledningar bildar lagen en omfattande NIS-reglering.

Organisationer som levererar samhällsviktig tjänst, enligt MSB:s definition, är skyldiga att anmäla sig till tillsynsmyndigheten för sin sektor. NIS-regleringen ställer krav på ett systematiskt och riskbaserat informationssäkerhetsarbete genom bland annat incidentrapportering, säkerhetsåtgärder och förebyggande kontinuitetsarbete.

Genom gedigen erfarenhet, expertkompetens och välbeprövade metoder hjälper Weop leverantörer av samhällsviktig tjänst att möta de krav som regleringen och dagens hotbild ställer. Weop utreder vilka delar av verksamheten som träffas av NIS-regleringen, respektive säkerhetsskyddslagen samt stödjer med implementering av åtgärder exempelvis genom byggande av NIS-reglerade IT-system och införande av ledningssystem för informationssäkerhet.