SÄKERHETSSKYDDSPLAN FÖR REGION SKÅNE

Relevanta dokument
Instruktion för arbete med säkerhetsskydd

Reviderad januari 2006, beslut i regionstyrelsen

Datum 20 SÄKERHETSSKYDDSAVTAL () VID SÄKERHETSSKYDDAD UPPHANDLING (SUA).

Uppdatering av Säkerhetsskyddsplan

Säkerhetsskyddsplan för Piteå kommun

Bilaga 13. Verksamhetsskyddsavtal

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Datum Dnr. /2016

Socialstyrelsens författningssamling

AVLÖSARSERVICE I HEMMET 9:5 LSS

ARKIVREGLEMENTE FÖR NYNÄSHAMNS KOMMUN

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser

Säkerhetsskyddslag (1996:627)

KORTTIDSTILLSYN 9:7 LSS

Fastställande av Säkerhetsskyddplan Region Östergötland

Informationshantering och journalföring. informationssäkerhet för god vård

Kommittédirektiv. Genomförande av dataskyddsrambeslutet. Dir. 2010:17. Beslut vid regeringssammanträde den 25 februari 2010

Rutin överklagan av beslut

Tryckfrihetsförordning

Arkivreglemente för Lerums kommun

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Informationssäkerhet

ELSÄK-FS 2006:1. Elsäkerhetsverkets föreskrifter. och allmänna råd om elsäkerhet vid arbete i yrkesmässig verksamhet

Offentlighetsprincipen. Kortfattat om lagstiftningen

Informationsmeddelande IM2013:

Kommittédirektiv. Inrättandet av ett nytt universitet som omfattar verksamheterna vid Växjö universitet och Högskolan i Kalmar. Dir.

Tillämpning. Kommun, offentlighet. och. sekretess

Svensk författningssamling

Upprättad Reviderad AVVIKELSE och RISKHANTERING riktlinjer

Arkivreglemente för Varbergs kommun

Yttrande angående revidering av Rutin för lex Sarah. Förvaltningen föreslår att Vård- och omsorgsnämnden beslutar

EUROPAPARLAMENTET. Utskottet för sysselsättning och socialfrågor

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Regeringens proposition 2005/06:137

Råd. Utlämnande av uppgifter från HSA-katalog

1. Problemet. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

Elsäkerhetsverkets förslag till föreskrifter om ändring i ELSÄK-FS 2013:1

Offentlighetsprincipen

Svensk författningssamling

Bilaga 1 Handledning i informationssäkerhet

Reglemente för omsorgsnämnden i Vellinge kommun

GÄLLANDE BESLUT: KOMMUNÖVERGRIPANDE RIKTLINJER INOM SÄKERHETSOMRÅDET

Styrelsens för ackreditering och teknisk kontroll författningssamling

Beslut för Föreningen Fogdaröd Omsorg, Vård & Utbildning Utan Personligt ansvar

Förslag till ny informationssäkerhetspolicy för trafikförvaltningen inklusive ingående verksamheter

Avtal om distansarbete

Statens räddningsverks författningssamling

Infrastrukturen för Svensk e-legitimation

LOKAL RIKTLINJE FÖR HOT- OCH VÅLDSSITUATIONER

Att hantera digital information i Stockholms stad. stockholm.se

Arkivreglemente för Sydarkivera

Offentlighets- och sekretesslag

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

Beslut för grundsärskola

Säkerhetsskyddsplan för Älvsbyns kommun

Arkivreglemente för Hälsinglands Utbildningsförbund Bilaga: Kommentarer och förklaringar.

HÖGSTA FÖRVALTNINGSDOMSTOLENS BESLUT

Särskilt stöd i grundskolan

Likabehandlingsplan för läsåret

Utdrag ur Offentlighets- och sekretesslagen

Rådets direktiv 98/59/EG av den 20 juli 1998 om tillnärmning av medlemsstaternas lagstiftning om kollektiva uppsägningar

Förberedelser inför EU:s dataskyddsförordning

RUTIN FÖR KLASSIFICERING AV INFORMATION

Riktlinje för hälso- och sjukvårdsdokumentation

Arkivreglemente för Sydarkivera

VÄGLEDNING FÖRETAGSCERTIFIERING Ansökan, recertifiering och uppgradering Version: (SBSC dok )

Utdrag ur protokoll vid sammanträde

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Riktlinjer systematiskt arbetsmiljöarbete - Bilaga 2. Fördelning av arbetsmiljöuppgifter samt returnering av arbetsmiljöuppgifter

Ägardirektiv. Övergripande verksamhetsdirektiv för Vara Bostäder AB

Avgifter i skolan. Informationsblad

Arkivreglemente för Hultsfreds kommun

Cirkulärnr: 1998:71 Diarienr: 1998/1328 P-cirknr: :21 Nyckelord: Datum:

Sammanfattning. Utgångspunkter

Sekretesslagen för tekniker

Överenskommelse avseende uppföljningssystemet SUS

Svensk författningssamling

Kommittédirektiv. En samordnad utveckling av validering. Dir. 2015:120. Beslut vid regeringssammanträde den 19 november 2015

Rutin för hantering av medicinska avvikelser

Svensk författningssamling

EUROPEISKA GEMENSKAPERNAS KOMMISSION. Utkast till BESLUT AV BLANDADE EG EFTA-KOMMITTÉN FÖR GEMENSAM TRANSITERING

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Yttrande över remiss av förslag till allmänna råd om prövning samt föreskrifter om prövning

Anmälan om sjukhusens läkemedelsförsörjning

Beslut efter uppföljning för gymnasieskola med yrkes- och introduktionsprogram

Beslut för gymnasieskola

Svensk författningssamling

UPPHANDLANDE MYNDIGHET Upphandlande myndighet är Första AP-fonden (AP1 eller Beställaren).

Södertörns ÖVERFÖRMYNDARNÄMND i kommunerna Botkyrka, Haninge, Huddinge, Nynäshamn och Tyresö

Socialstyrelsens föreskrifter och allmänna råd (2011:9) om ledningssystem för systematiskt kvalitetsarbete

Statens räddningsverks författningssamling

Riktlinjer - Rekryteringsprocesser inom Föreningen Ekonomerna skall vara genomtänkta och välplanerade i syfte att säkerhetsställa professionalism.

Vet du vilka rättigheter du har?

Överenskommelse om samverkan mellan socialförvaltningen och vård- och omsorgsförvaltningen. Mål, utgångspunkter och styrning

Föreskrift om insiderregister

Socialstyrelsens författningssamling. Socialnämndens ansvar för barn och unga i familjehem, jourhem eller hem för vård eller boende

RUTIN LEX SARAH HÖGANÄS KOMMUN SOCIALFÖRVALTNINGEN 1 (5) TYP AV DOKUMENT: RUTIN BESLUTAD AV: AVDELNINGSCHEF UPPDRAGSAVD. ANTAGEN: 27 APRIL 2015

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Moderaternas medlemsregister

IT-säkerhetspolicy R

Flik 1.3. BJURHOLMS KOMMUN Äldre- och handikappomsorg. Att lämna samtycke

Transkript:

SÄKERHETSSKYDDSPLAN FÖR REGION SKÅNE Fastställd av Regionstyrelsen 2012-03-15, 46

INNEHÅLLSFÖRTECKNING 1. Inledning 1 2. Säkerhetsskydd 1 3. Ansvar och organisation 2 4. Säkerhetsanalys 2 5. Säkerhets- och skyddsåtgärder 3 5.1 Informationssäkerhet 3 5.1.1 IT-säkerhet 4 5.1.2 Handlingar och dokument 4 5.1.3 Administrativ säkerhet 5 5.1.4 Åtgärder vid upptäckta oegentligheter eller missbruk 5 5.2 Tillträdesbegränsning 6 5.3 Säkerhetsprövning 7 5.4 Säkerhetsklass 7 5.5 Säkerhetsskyddad upphandling (SUA) 8 5.6 Särskilda föreskrifter 9 5.7 Utbildning, kontroll och tillsyn 9 6. Definitioner 10 7. Källförteckning 11

1 1. Inledning Enligt säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) åläggs det Region Skåne att vidta åtgärder för att skydda rikets säkerhet och förebygga terroristbrott genom att det för Region Skånes verksamhetsområden finns ett verkningsfullt säkerhetsskydd med hänsyn till verksamhetens art, omfattning och övriga omständigheter. Ansvaret vad gäller säkerhetsskydd regleras bland annat i säkerhetsskyddslagen (1996:627), säkerhetsskyddsförordningen (1996:633), rikspolisstyrelsens föreskrifter om säkerhetsskydd (RPSFS 2010:03 FAP 244-1) samt offentlighets och sekretesslagen (2009:400). Innehållet i dessa författningar och föreskrifter har varit styrande vid framtagandet av denna plan som reglerar säkerhetsskyddsarbetet inom Region Skåne. 2. Säkerhetsskydd Enligt säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) är Region Skåne, såsom regional myndighet och sjukvårdshuvudman, ålagd att besitta ett verksamt säkerhetsskydd i syfte att skydda rikets säkerhet och förebygga terroristbrott. Med säkerhetsskydd avses enligt säkerhetsskyddslagen 1. Skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet. 2. Skydd av uppgifter som omfattas av sekretess (hemliga uppgifter), enligt offentlighetsoch sekretesslagen (2009:400), och som rör rikets säkerhet. 3. Skydd mot terroristbrott (terrorism), enligt 2 lagen (2003:148) om straff för terroristbrott, även om brott inte hotar rikets säkerhet (lag 2009:464). Säkerhetsskyddets funktion skall utifrån detta särskilt beakta och förebygga: - att uppgifter som omfattas av sekretess och som berör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet) - att obehöriga inte får tillträde till platser där de kan få tillgång till uppgifter som avses i punkt 1 eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdelsebegränsning), och - att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning) De uppgifter som ska skyddas är uppgifter som rör rikets säkerhet och avser uppgifter som angår verksamhet för att försvara landet eller planlägga eller annan förberedelse av sådan verksamhet eller uppgift som i övrigt rör totalförsvaret, om det antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Det kan vara uppgifter om den egna verksamheten eller uppgifter som kommer in från andra myndigheter eller organisationer. Säkerhetsskyddet omfattar också uppgifter som kan knytas till intresset att förebygga och beivra brott. Region Skåne bedöms inte ha anläggningar eller verksamhet som skall skyddas enligt säkerhetsskyddslagen (1996:27) och säkerhetsskyddsförordningen (1996:633).

2 Region Skåne upprätthåller en allmän säkerhetsnivå som styrs av lagar, förordningar, allmänna råd, policys och riktlinjer. 3. Ansvar och organisation Ansvaret för Region Skånes säkerhetsskydd vilar på regionstyrelsen och regiondirektören. I säkerhetsskyddsarbetet biträds dessa av Region Skånes säkerhetsskyddschef, vilken är avdelningschefen för Avdelning för krisberedskap och säkerhet. Ställföreträdare för Säkerhetsskyddschef är säkerhetsstrateg vid Avdelningen för krisberedskap och säkerhet. Säkerhetsskyddschef utövar under regionstyrelsen och regiondirektören kontroll över att säkerhetsskyddet finns, är tillräckligt och fungerar. Säkerhetsskyddschefen ansvarar för att det inom Region Skåne finns en dokumenterad säkerhetsanalys (se avsnitt 4). Respektive förvaltning inom Region Skånes verksamheter biträder säkerhetsskyddschefen med genomförande av säkerhetsanalysen. Säkerhetsskyddschef ska vidare samordna skyddet samt säkerställa att berörd personal ges erforderlig utbildning. Säkerhetsskyddschef och dennes ställföreträdare är i dessa funktioner direkt underställda regionstyrelsen och regiondirektören. Säkerhetsskyddschef, eller som ersättare för denne säkerhetsskyddschefens ställföreträdare, är Region Skånes kontaktperson beträffande säkerhetspolisens kontakter med Region Skåne i dessa frågor. Förvaltnings- och verksamhetschefer i linjeorganisationen har ansvar för säkerhetsskyddet inom det egna verksamhetsområdet. Denna säkerhetsskyddsplan har upprättats i enlighet med bestämmelserna i säkerhetsskyddslagen (1996:627) samt bestämmelserna i säkerhetsskyddsförordningen (1996:633). Säkerhetsskyddsplanen fastställs av Region Skånes regionstyrelse. 4. Säkerhetsanalys Enligt säkerhetsskyddslagen 5 och säkerhetsskyddsförordningen 5 ska Region Skåne undersöka vilka uppgifter i Region Skånes verksamheter som ska hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Resultatet av denna undersökning (säkerhetsanalys) ska dokumenteras. Säkerhetsanalysen innefattar bl.a. att identifiera den mest skyddsvärda informationen, de mest skyddsvärda anläggningarna och de mest skyddsvärda befattningarna inom Region Skånes verksamheter. Säkerhetsanalysen ska även relatera det skyddsvärda till de hot som Region Skånes verksamheter kan tänkas utsättas för och de säkerhetssårbarheter som verksamheterna bedöms vara behäftade med. Säkerhetsanalysen ska även i förlängningen innefatta framtagande av säkerhetsskyddsåtgärder utifrån identifierade behov med vilkas hjälp identifierade brister kan åtgärdas. Ramverk för framtagande av säkerhetsanalys finns att tillgå hos Säkerhetspolisen 1. 1 Process för framtagande av säkerhetsanalys finns beskrivet i Säkerhetspolisens skrift Säkerhetsskydd en vägledning.

3 5. Säkerhets- och skyddsåtgärder Säkerhetsskyddet indelas övergripande enligt säkerhetsskyddslagen och säkerhetsskyddsförordningen i: Informationssäkerhet Tillträdesbegränsning Säkerhetsprövning Säkerhetsklassning och registerkontroll Skyddad upphandling (SUA) Särskilda föreskrifter Utbildning / Kontroll och Tillsyn Säkerhetsarbetet inom Region Skåne ska förebygga risker och skador. Säkerhetskrav, säkerhetsrutiner och planer ska utformas så att man vid situation då beredskapsrutin måste tillgripas i största möjliga mån kan bibehålla ordinarie ledningsstruktur, arbetssätt och rutiner. I detta arbete innefattas även att skapa ett väl anpassat säkerhetsskydd för verksamhet som omfattas av krav på säkerhetsskydd enligt gällande lagstiftning. 5.1 Informationssäkerhet I begreppet informationssäkerhet ryms såväl säkerhet relaterad till hantering av fysiska handlingar som säkerhet relaterad till IT (informationsteknologi). Informationssäkerhet enligt säkerhetsskyddslagstiftningen syftar till att hindra obehöriga att få kännedom om sekretessbelagda uppgifter som har betydelse för totalförsvaret eller för rikets säkerhet. Dessutom ska informationssäkerheten hindra att sådana uppgifter ändras eller förstörs. För att ta del av säkerhetskänsliga uppgifter som har betydelse för totalförsvaret eller för rikets säkerhet måste en person; bedömas som pålitlig från säkerhetssynpunkt, ha tillräckliga kunskaper om säkerhetsskydd, behöva uppgifter för sitt arbete i den verksamhet där de hemliga uppgifterna förekommer. Den som ges behörighet ska även upplysas om vad sekretessen omfattar. För hantering av information gäller att författningar och verksamheten styr krav på tillgänglighet, skydd mot obehörig åtkomst och förvanskning samt spårbarhet. Utifrån dessa aspekter ska informationen identifieras/klassas, varefter lämpliga skyddsåtgärder vidtas. Hur uppgifter som har betydelse för totalförsvaret och rikets säkerhet ska hanteras regleras i säkerhetsskyddslagen 7 och 9 samt i säkerhetsförordningen 4 och 9-13.

4 5.1.1 IT-säkerhet IT-säkerhet utgör idag en viktig del av informationssäkerheten pga. den omfattande användningen av datorer och datanätverk för skapande, visning, lagring och förmedling av information, vilket även medfört nya tillvägagångssätt för obehöriga att komma åt känsliga uppgifter. Det är därför av största vikt att säkerhetsskyddet tillgodoses i och kring de ITsystem som utvecklas och brukas inom Region Skånes verksamheter och att dessa är uppbygga på ett betryggande sätt från säkerhetssynpunkt. För att nå upp till lämplig skyddsnivå för IT-system krävs ofta en kombination av olika skyddsåtgärder. IT-säkerhet avser främst skyddsåtgärder av teknisk karaktär, exempelvis olika former av behörighetskontrollsystem, etc. IT-säkerhet inkluderar både datasäkerhet (säkerhet i samband med behandling och/eller lagring av data) och kommunikationssäkerhet (säkerhet vid överföring av data). För att höja den generella säkerhetsnivån behöver oftast ITsäkerhetsskyddsåtgärder kompletteras med exempelvis fysiska och administrativa säkerhetsåtgärder. I enlighet med Region Skånes riktlinjer för informationssäkerhet tillämpar Region Skåne ett ledningssystem för informationssäkerhet som ett instrument för strukturerat arbete syftande till att fullgöra gällande lagkrav inom området. Ledningssystemet ska även säkerställa att det finns utarbetade rutiner för risk- och avvikelsehantering. Ledningssystemet för informationssäkerhet utgår ifrån SIS standard Ledningssystem för informationssäkerhet SS- ISO/IEC 27001 samt Riktlinjer för styrning av informationssäkerhet SS-ISO/IEC 27002. Ledningssystemet för informationssäkerhet fokuserar på informationshantering med IT-stöd, men berör också manuell hantering. Ledningssystemet är uppdelat i ett antal områden som sammanfattar vad som gäller avseende informationssäkerhet i Region Skåne. Det innehåller också tillämpningsanvisningar, anvisningar och instruktioner/rutiner som konkretiserar krav inom respektive område. 5.1.2 Handlingar och dokument Hanteringen av hemliga handlingar som är av betydelse för rikets säkerhet eller skyddet mot terrorism regleras i säkerhetsskyddsförordningen. Rikspolisstyrelsens föreskrifter om säkerhetsskydd (RPSFS 2010:03 FAP 244-1) ger direktiv för arbetsrutiner och förvaring av hemlig handling. Utöver dessa direktiv gäller för Region Skåne att eventuell inom Region Skåne upprättad hemlig handling som har betydelse för rikets säkerhet eller skyddet mot terrorism, eller försändelser ställda till Region Skåne innehållande hemliga handlingar som har betydelse för rikets säkerhet och skyddet mot terrorism, ska hanteras genom Region Skånes säkerhetsskyddschef (se även avsnitt 5.6, Särskilda föreskrifter).

5 5.1.3 Administrativ säkerhet Administrativ säkerhet ska garantera att god säkerhet tryggas vid handläggning och rutiner beträffande hemliga handlingar och dokument som har betydelse för rikets säkerhet och skyddet mot terrorism: Registrering och handhavande av hemliga handlingar och dokument Förvaring och försändning av handling Sekretessregler och sekretesskydd Handhavande, förvaring och försändning av hemliga uppgifter som har betydelse för rikets säkerhet eller skyddet mot terrorism kräver särskilt skydd och tillämpning genom föreskrifter i säkerhetsskyddslagen och säkerhetsskyddsförordningen. För hantering av denna typ av handlingar och dokument se avsnitt 5.1.2. 5.1.4 Åtgärder vid upptäckta oegentligheter eller missbruk Med oegentligheter menas avsiktliga/medvetna fel i handläggning eller åtgärder. Förekommer misstanke om eller konstaterat fall av oegentligheter eller missbruk som berör säkerhetsskyddet (dvs. innefattar hot mot rikets säkerhet eller skyddet mot terroristbrott) ska detta anmälas omgående till närmast högre chef eller till Region Skånes säkerhetsskyddschef, varefter lämpliga åtgärder sätts in. Omedelbara åtgärder Om man bedömer att det finns risk för fortsatt eller utökad skada för rikets säkerhet eller skyddet mot terrorism ska omedelbart övervägas - om den anställde skall få behålla behörighet till hemliga handlingar/dokument/information som har betydelse för rikets säkerhet eller skyddet mot terrorism - om något material ska omhändertas för kommande utredning. - om åtgärder behöver vidtas mot annan myndighet eller tredje man. Fel och brister som noterats ska omedelbart utredas och dokumenteras. Alla typer av oegentligheter eller missbruk med koppling till säkerhetsskyddet ska alltid rapporteras. Fortsatt handläggning Vidare utredning utförs som kan resultera i polisanmälan. Om frågan leder till fortsatt personalärende avgörs i det enskilda fallet.

6 5.2 Tillträdesbegränsning Tillträdesbegränsning enligt säkerhetsskyddslagstiftningen syftar till att hindra, fördröja eller förvarna om obehörigt tillträde till platser, anläggningar, inrättningar eller områden där säkerhetskänslig verksamhet bedrivs eller som särskilt behöver skyddas mot terrorism - eller där hemliga uppgifter som är av betydelse för rikets säkerhet eller skyddet mot terrorism bearbetas eller förvaras. Tillträdesbegränsning kan ske genom: - Utfärdande och tillkännagivande av tillträdesförbud - Passerkontroll, antingen personell eller teknisk kontroll för in- och utpassering eller båda i kombination - Byggnadstekniska åtgärder såsom byggnadskonstruktioner, sektioneringar, lås eller stängsel - Bevakningstekniska hjälpmedel, larmanordningar, tv-övervakning - Inre och yttre bevakning. Tillträdelsebegränsningen kan utformas på olika sätt. I vissa fall räcker det att tillträdesbegränsningen avser utomstående. I andra fall kan den behöva omfatta även den egna personalen. För särskilt känsliga områden/platser kan tillträdelserätten behöva begränsas även till dem av de anställda som för att kunna utföra sitt arbete behöver vistas i det aktuella området. Säkerhetsskyddslagen statuerar emellertid att begränsningar ska utformas så att allmänhetens rätt att röra sig fritt inte inskränks mer än nödvändigt. Bestämmelserna om tillträdesbegränsning i säkerhetsskyddslagstiftningen ålägger den som omfattas av reglerna att pröva i vilken utsträckning en tillträdesbegränsning är påkallad och att i förekommande fall utforma begränsningen på ett tillfredställande sätt. Prövningen bör utgå från myndighetens säkerhetsanalys. Prövningen kan utmynna i att man anser att byggnaden eller området bör förklaras som skyddsobjekt. Tillträdesbegränsning regleras i säkerhetsskyddslagen 10 samt RPSFS 2010:03 kapitel 5.

7 5.3 Säkerhetsprövning Säkerhetsprövning enligt säkerhetsskyddslagstiftningen syftar till att pröva personers pålitlighet att ta del av hemlig information eller delta i verksamhet där sekretessbelagd verksamhet som är av betydelse för totalförsvaret eller rikets säkerhet och skyddet mot terrorism behandlas. Säkerhetsprövning ska göras för alla personer som på ett eller annat sätt får ta del av hemliga handlingar, har tillträde till säkerhetsskyddade anläggningar eller deltar i någon verksamhet som berör rikets säkerhet. Säkerhetsprövning ska genomföras innan en person genom anställning eller på annat vis deltar i sådan verksamhet, d.v.s. innan en person som förordats till anställning anställs. Säkerhetsprövning regleras i 11 säkerhetsskyddslagen och 14, 38 säkerhetsskyddsförordningen samt RPSFS 2010:03 kapitel 6. Säkerhetsprövning grundas bl.a. på: Personlig kännedom om personen. Uppgifter som framgår av referenser, betyg, intyg m.m.. I förekommande fall utifrån tjänst/befattnings säkerhetsklass - uppgifter hämtade från registerkontroll eller särskild personutredning. Före registerkontroll och särskild personlighetsutredning får utföras ska den som säkerhetsprövningen gäller ha gett sitt samtycke till åtgärden. Samtycke anses gälla också för förnyade kontroller och utredningar så länge som den kontrollerade innehar samma anställning/befattning. Region Skånes säkerhetsskyddschef, i samråd med berörd förvaltningschef, genomför säkerhetsprövning för person som förordats till anställning eller innehar befattning som placerats i säkerhetsklass, se avsnitt 5.4. Registerkontroll och eventuell särskild personlighetsutredning i samband med säkerhetsprövning utförs av säkerhetspolisen (SÄPO) efter framställan från säkerhetsskyddschef. 5.4 Säkerhetsklass Säkerhetsklass innebär enligt säkerhetsskyddslagstiftningen att vissa befattningar enbart får innehas av personer som säkerhetsprövats, registerkontrollerats och är svenska medborgare. Klassningen är kopplad till i vilken omfattning anställd på en viss befattning kommer att hantera hemlig information. Säkerhetsklass regleras i 12-16, 20 säkerhetsskyddslagen, 18-25 säkerhetsskyddsförordningen samt RPSFS 2010:03 kapitel 6 och 8. En anställning eller ett annat deltagande i verksamheten ska placeras i säkerhetsklass om den anställde eller den som deltar i verksamheten: - I stor omfattning får del av uppgifter som omfattas av sekretess och är av synnerligen betydelse för rikets säkerhet (säkerhetsklass 1) - I en omfattning som inte är obetydlig får del av uppgifter som omfattas av sekretess och är av synnerlig betydelse för rikets säkerhet (säkerhetsklass 2) - I övrigt får del av uppgifter som omfattas av sekretess och som är av betydelse för rikets säkerhet, om ett röjande av uppgifterna kan antas medföra men för rikets säkerhet som inte endast är ringa (säkerhetsklass 3)

8 Region Skåne beslutar själv om placering i säkerhetsklass 2 och 3 för enskilda som bedriver säkerhetskänslig verksamhet, medan regeringen fattar beslut om placering i säkerhetsklass 1. För Region Skåne är säkerhetsklass 1 och 2 inte aktuella. Säkerhetsklass 3 bedöms motsvara Region Skånes behov kopplat till säkerhetsskyddslagstiftningen. Tjänster/befattningar inom Region Skåne som skyddsklassas enligt säkerhetsskyddslagen är: Tjänst/Befattning Klass Myndighetschef / Regiondirektör 3 Bitr Regiondirektör 3 Säkerhetsskyddschef 3 Ställföreträdande Säkerhetsskyddschef 3 Ordinarie medlem i Region Skånes Krisberedskaps- och säkerhetsråd 3 Verksamhetsutvecklare, Avdelningen för krisberedskap och säkerhet 3 Beredskapsplanerare, Avdelningen för krisberedskap och säkerhet 3 Enhetschef, Enheten för Informationssäkerhet 3 Servicedirektör, Regionservice 3 Vice Servicedirektör, Regionservice 3 Säkerhetsstrateg, Regionservice 3 Driftchefer, Regionservice 3 IT- och kommunikationsdirektör, Region Skåne 3 Ordinarie medlem i IT-ledningsgruppen, IT-avdelningen 3 Change Manager, IT-avdelningen 3 Release Manager, IT-avdelningen 3 IT-säkerhetsarkitekt, IT-avdelningen 3 Områdesansvarig för Server & Applikation, IT-avdelningen 3 Tabell 5-1: Säkerhetsklassade tjänster/befattningar inom Region Skåne. Skyddsklassning (säkerhetsklass 3) enligt säkerhetsskyddslagen för tjänster/befattningar angivna i tabell 5-1 baseras på bedömning att innehavare av dessa tjänster/befattningar har möjlighet att (utifrån sammanställningar av information från olika källor såsom från risk- och sårbarhetsanalyser, information om infrastruktur, etc.) skapa sig helhetsbilder/helhetssammanhang av Region Skånes verksamhetsområden som kan vara av säkerhetskänslig natur. 5.5 Säkerhetsskyddad upphandling (SUA) Allmänt gäller enligt säkerhetsskyddslagstiftningen att Region Skåne, innan en upphandling sker, är skyldig att pröva om upphandlingen helt eller delvis ska omges av säkerhetsskydd. Om så är fallet ska säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) upprättas med leverantör och/eller underleverantör. Upphandlingsdirektör ska underrätta Region Skånes säkerhetsskyddschef om detta. Säkerhetspolisen ska vidare, om SUA föreligger, alltid underrättas och är även behjälplig i dessa frågor. Närmare anvisningar regleras i särskilda föreskrifter om SUA. Säkerhetspolisen har även givit ut en handbok för säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA). Säkerhetsskyddad upphandling (SUA) regleras i 8 säkerhetsskyddslagen, 15 säkerhetsskyddsförordningen samt RPSFS 2010:03 kapitel 7.

9 5.6 Särskilda föreskrifter För varje enskild förvaltning, med beaktande av gällande bestämmelser, gäller att eventuell inom Region Skåne upprättad hemlig handling som är av betydelse för rikets säkerhet eller skyddet mot terrorism, eller försändelser ställda till Region Skåne innehållande hemliga handlingar som är av betydelse för rikets säkerhet och skyddet mot terrorism, ska hanteras genom Region Skånes säkerhetsskyddschef. 5.7 Utbildning, kontroll och tillsyn Kontroller och tillsyn av säkerhetsskyddet sker genom säkerhetsskyddschef.

10 6. Definitioner Hemlig handling Handling som innehåller hemlig uppgift. Hemlig uppgift Uppgift som omfattas av sekretess enligt sekretesslagen och som rör rikets säkerhet. Informationssäkerhet Åtgärder som ska förebygga att hemlig uppgift obehörigen röjs, ändras eller förstörs. Registerkontroll Avser att uppgifter hämtas från ett register som omfattas av lagen om belastningsregister (1998:620), lagen om misstankeregister (1998:621) eller polisdatalagen (1998:622). Registerkontroll avser även att sådana personuppgifter hämtas som rikspolisstyrelsen eller SÄPO behandlar utan att de ingår i ett sådant register som avses i första stycket. Med registerkontroll avses emellertid inte att uppgifter hämtas från en förundersökning eller särskild undersökning i kriminalunderrättelseverksamhet. Rikets säkerhet SÄPO definierar rikets säkerhet såsom yttre och inre säkerhet. Yttre säkerhet syftar på det nationella oberoendet med sikte på totalförsvaret (Försvarsmakten). Inre säkerhet (SÄPO) riktar in sig på det demokratiska statsskicket utan förbindelse med främmande makt. Säkerhetsanalys Myndigheter, och andra som enligt Säkerhetsskyddslagen och dess förordningar gäller för, ska undersöka vad som är skyddsvärt i sin verksamhet. Primärt gäller detta vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet och skyddet mot terrorism, samt vilka uppgifter i verksamheten som ska hållas hemliga med hänsyn till rikets säkerhet. Resultatet av undersökningen (säkerhetsanalysen) ska dokumenteras. Säkerhetsklass Anställning eller viss befattning/deltagande ska under vissa förutsättningar placeras i säkerhetsklass (säkerhetsklass 1, 2 eller 3). Tillhörighet till säkerhetsklass är främst avhängd i vilken utsträckning den anställde/uppdragstagaren får ta del av hemliga uppgifter. Säkerhetsprövning En prövning ska utföras av en myndighet, och andra som enligt Säkerhetsskyddslagen och dess förordningar gäller för, innan en person genom anställning eller på annat vis deltar i verksamhet som har betydelse för rikets säkerhet eller anlitas för sysslor som är betydelsefulla för skyddet mot terrorism. Prövningen ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet och skyddet mot terrorism.

11 Säkerhetsskydd Åtgärder till skydd mot spioneri, sabotage och andra brott som rör rikets säkerhet, skydd i andra fall av hemliga uppgifter och skydd mot terrorism - även terrorism som inte hotar rikets säkerhet. Olika säkerhetsskyddsåtgärder är informationssäkerhet, tillträdelsebegränsning och säkerhetsprövning. I säkerhetsskyddet ingår också utbildning och kontroll. Säkerhetsskyddsavtal I fall då staten, kommuner eller regioner/landsting avser att begära in anbud eller träffa avtal om upphandlingar där det förekommer hemliga uppgifter ska var och en av de ovanstående myndigheterna träffa ett skriftligt avtal med anbudsgivaren eller leverantören om det säkerhetsskydd som krävs i det enskilda fallet. Säkerhetspolisen (SÄPO) Säkerhetspolisen skyddar Sveriges demokratiska system, medborgarnas fri- och rättigheter och den nationella säkerheten. Säkerhetspolisens verksamhet omfattar övergripande att förebygga och avslöja brott mot rikets säkerhet, bekämpa terrorism och skydda den centrala statsledningen. Ett av säkerhetspolisens områden är Säkerhetsskydd där säkerhetspolisen tillhandahåller rådgivning och tillsyn av myndigheter och vissa företag i syfte att skydda verksamheter som har betydelse för rikets säkerhet och för att förebygga terrorism. Detta innefattar även genomförande av registerkontroller efter begäran från berörda myndigheter. Terrorism Enligt lagen (2003:148) om straff för terroristbrott, vilken baseras på EU:s rambeslut om bekämpande av terrorism, är terrorism en gärningen som allvarligt kan skada en stat eller mellanfolklig organisation om gärningen syftar till att: 1. Injaga allvarlig fruktan hos en befolkning eller en befolkningsgrupp, 2. Tvinga offentliga organ eller en mellanstatlig organisation att vidta eller avstå från att vidta en åtgärd, eller 3. Destabilisera eller förstöra grundläggande politiska, konstitutionella, ekonomiska eller sociala strukturer. Tillträdesbegränsning Tillträdesbegränsning syftar primärt till att hindra obehöriga att få tillträde till skyddsvärda platser eller anläggningar (anläggningsdelar) där de kan få tillgång till hemliga uppgifter, eller där det bedrivs verksamhet som har betydelse för rikets säkerhet. Tillträdesbegränsningen kan genomföras via personella, tekniska och/eller mekaniska begränsningar. 7. Källförteckning Offentlighets och sekretesslagen (2009:400) Rikspolisstyrelsens författningssamling, 2010:03 FAP 244-1 Säkerhetsskydd - en vägledning, Säkerhetspolisen, maj 2008. Reviderad juli 2010. Säkerhetsskyddsförordning (1996:633) Säkerhetsskyddslag (1996:627)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss