Advania logo
    Kontakta oss
    Gå tillbaka

    Säkerhetsskyddsanalys

    Vad är en säkerhetsskyddsanalys?

    En säkerhetsskyddsanalys är den lagstadgade analys som alla verksamheter som omfattas av säkerhetsskyddslagen ska genomföra och dokumentera. Analysen identifierar vad i verksamheten som har betydelse för Sveriges säkerhet – skyddsvärdena – samt vilka hot och sårbarheter som finns och vilka säkerhetsskyddsåtgärder som krävs. Den är utgångspunkten för allt säkerhetsskyddsarbete: utan analys vet verksamheten varken vad som ska skyddas eller hur.

    Betydelsen av en säkerhetsskyddsanalys

    Säkerhetsskydd skiljer sig från annan säkerhet genom perspektivet: det handlar inte om skada för den egna organisationen, utan om skada för Sverige. Ett systemavbrott kan vara hanterbart för verksamheten men allvarligt för landet om systemet styr elförsörjning, kommunikationer eller annan kritisk infrastruktur. Säkerhetsskyddsanalysen är verktyget som identifierar just dessa konsekvenser.

    Analysen är också det formella beviset på att verksamheten tar sitt ansvar enligt lagen. Tillsynsmyndigheter utgår från den när de granskar säkerhetsskyddet, och den styr vilka krav som ställs vid upphandlingar, utkontraktering och rekrytering. En bristfällig eller inaktuell analys leder till att åtgärderna hamnar fel – antingen otillräckligt skydd för det som verkligen är skyddsvärt, eller onödigt kostsamma åtgärder för det som inte är det.

    Så fungerar en säkerhetsskyddsanalys

    Analysen genomförs i flera steg, med stöd av bland annat Säkerhetspolisens vägledningar:

    • Identifiera skyddsvärden: vad i verksamheten har betydelse för Sveriges säkerhet? Det kan vara skyddsvärd information, IT-system, anläggningar, funktioner eller försörjningskedjor.
    • Bedöm konsekvenser: vilken skada för Sverige uppstår om skyddsvärdena röjs, förstörs eller manipuleras? Konsekvensnivån styr bland annat säkerhetsskyddsklassificeringen av uppgifter.
    • Analysera hot: vilka antagonistiska aktörer kan vara intresserade, och vilken förmåga och avsikt har de? Här används bland annat underlag från säkerhetsmyndigheterna.
    • Identifiera sårbarheter: var är verksamheten exponerad – tekniskt, fysiskt och personellt?
    • Besluta åtgärder: vilka säkerhetsskyddsåtgärder inom informationssäkerhet, fysisk säkerhet och personalsäkerhet krävs, och hur ska de följas upp?

    Resultatet dokumenteras och ligger till grund för verksamhetens säkerhetsskyddsplanering. Analysen ska hållas uppdaterad och ses över regelbundet samt vid förändringar.

    Användningsområden för en säkerhetsskyddsanalys

    Säkerhetsskyddsanalysen avgör om verksamheten bedriver säkerhetskänslig verksamhet över huvud taget – och i så fall vilka delar. Den styr klassificeringen av uppgifter, dimensioneringen av IT-skyddet, vilka befattningar som ska säkerhetsprövas och när säkerhetsskyddsavtal krävs med leverantörer. Den används också som beslutsunderlag inför utkontraktering, molnflytt och andra vägval där skyddsvärden kan exponeras för utomstående.

    Säkerhetsskyddsanalys med stöd av Advania

    En säkerhetsskyddsanalys kräver både förståelse för regelverket och förmåga att översätta skyddsvärden till konkreta krav på IT-miljö, processer och människor. Advania stödjer verksamheter genom hela arbetet – från metodstöd och workshops vid analysen till design och drift av IT-lösningar som motsvarar de säkerhetsskyddsåtgärder analysen landar i.

    Vanliga frågor och svar om säkerhetsskyddsanalys

    Vem måste göra en säkerhetsskyddsanalys?

    Alla som bedriver säkerhetskänslig verksamhet – myndigheter, kommuner, regioner och privata företag – är skyldiga att genomföra och dokumentera en säkerhetsskyddsanalys. Även den som är osäker på om verksamheten omfattas behöver i praktiken göra en inledande analys för att kunna avgöra frågan.

    Vad är skillnaden mellan en säkerhetsskyddsanalys och en risk- och sårbarhetsanalys?

    En risk- och sårbarhetsanalys utgår från konsekvenser för den egna verksamheten och omfattar alla typer av hot, även olyckor och tekniska fel. Säkerhetsskyddsanalysen utgår från konsekvenser för Sveriges säkerhet och fokuserar på antagonistiska hot som spioneri och sabotage. Många verksamheter behöver båda – de svarar på olika frågor.

    Hur ofta ska säkerhetsskyddsanalysen uppdateras?

    Den ska hållas aktuell och ses över regelbundet – i praktiken minst vartannat år enligt gällande föreskrifter – och dessutom vid förändringar som påverkar skyddsvärdena, exempelvis nya system, nya uppdrag, omorganisationer eller förändrad hotbild.

    Vad händer efter analysen?

    Analysen omsätts i en säkerhetsskyddsplanering: beslutade åtgärder inom informationssäkerhet, fysisk säkerhet och personalsäkerhet, rutiner för uppföljning samt underlag för säkerhetsprövningar och säkerhetsskyddsavtal. Analysen är med andra ord inte slutprodukten utan styrdokumentet för det löpande säkerhetsskyddsarbetet.

    Viktiga punkter att ta med sig om säkerhetsskyddsanalys
    • Lagstadgad grund: analysen är obligatorisk för alla som bedriver säkerhetskänslig verksamhet.
    • Sverigeperspektiv: konsekvenser bedöms för Sveriges säkerhet, inte för den egna organisationen.
    • Fem steg: skyddsvärden, konsekvenser, hot, sårbarheter och åtgärder analyseras i ett sammanhang.
    • Styr allt säkerhetsskydd: klassificering, IT-skydd, säkerhetsprövning och leverantörsavtal utgår från analysen.
    • Levande dokument: analysen ska ses över regelbundet och vid förändringar som påverkar skyddsvärdena.
    EFTERLEVNAD OCH STYRNING

    Behöver ni stöd i arbetet med regelefterlevnad och informationssäkerhet?

    Så skyddar vi er information