SÄKERHETSSKYDDSAVTAL (nivå 1)

Relevanta dokument
15 kap. Sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer.

Polismyndigheten, ( ), Box 12256, Stockholm som företräder staten, nedan kallad Polisen

SÄKERHETSSKYDDSAVTAL (nivå 3)

RIKSPOLISSTYRELSEN, ( ), Box 12256, Stockholm som företräder staten, nedan kallad Myndigheten

Mall säkerhetsskyddsavtal (nivå 2)

UPPHANDLING AV DUELLSTÄLL TILL SKJUTBANOR

Mall säkerhetsskyddsavtal (nivå 1)

Sekretessinformation 2015

Bilaga Utkast till Säkerhetsskyddsavtal (Nivå 1)

Bilaga Utkast till Säkerhetsskyddsavtal (Nivå 3)

Polismyndigheten i Uppsala län

SÄKERHETSSKYDDSAVTAL (nivå 2)

Bilaga 5 Dnr: A /2015 1(12) POLISMYNDIGHETEN. Förslag till säkerhetsskyddsinstruktion

Generell Säkerhetsskyddsinstruktion

SÄKERHETSSKYDDSAVTAL (nivå 3)

SÄKERHETSSKYDDSAVTAL. SÄKERHETSSKYDDSAVTAL Diarienr (åberopas vid korrespondens) Polisens verksamhetsstöd Administrativa enheten Upphandlingssektionen

Datum: SÄKERHETSSKYDDSAVTAL (nivå 3) VID SÄKERHETSSKYDDAD UPPHANDLING (SUA).

Försvarets materielverk (FMV) org.nr STOCKHOLM. nedan kallad Myndigheten, och

Datum Diarienr. /2015

Säkerhetsskyddsavtal

Säkerhetsskyddsavtal Nivå 3

Säkerhetsskyddsavtal

SÄKERHETSSKYDDSAVTAL (nivå 1)

Säkerhetsskyddsavtal Nivå 1

Säkerhetsskyddsavtal med bilaga, Nivå 1. mellan. Försvarets materielverk (FMV) STOCKHOLM. och. Företag AB (XXXXXX-XXXX) ORT

Säkerhetsskyddsavtal med bilaga, Nivå 1 HEMLIG/RESTRICTED. mellan. Försvarets materielverk (FMV) STOCKHOLM. och

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Säkerhetsskyddsavtal SUA nivå 1

Säkerhetsskydd en översikt. Thomas Palfelt

Innehållsförteckning 1 Allmänt Organisation Säkerhetsskydd Säkerhetsskyddschefens uppgifter Säkerhetsskyddsanalys...

Sekretessavtal. (Projekt namn)

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Datum Diarienr. /2015

Datum Beräknad slutbesiktning Utförandeentreprenad enligt AB

Polismyndighetens författningssamling

Säkerhetsskyddsplan. Styrande måldokument Plan Sida 1 (10)

Säkerhetsskyddsplan för Piteå kommun

Rekryteringsmyndighetens interna bestämmelser

Datum Att:

Datum Ansökan lämnas/skickas till Rikspolisstyrelsen, Registratorskontoret, Box , Stockholm

4 år från och med den dag då avtalet träder i kraft

Säkerhetsskyddsplan för Luleå kommun

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Ansökan lämnas/skickas till Rikspolisstyrelsen, Registratorskontoret, Box 12256, Stockholm. Möjlighet till förlängning.

1. Säkerhetsskydd 2. Säkerhetsskyddad upphandling 3. Nya säkerhetsskyddslagen

Affärsverket svenska kraftnäts författningssamling Utgivare: chefsjurist Bertil Persson, Svenska Kraftnät, Box 1200, Sundbyberg ISSN

Fastställande av Säkerhetsskyddplan Region Östergötland

FÖRSVARETS FÖRFATTNINGSSAMLING

Upprättande av säkerhetsskyddsavtal i Nivå 1

Datum Att:

FÖRFATTNINGSSAMLING. Försvarsmaktens föreskrifter om skydd för utrikes- och sekretessklassificerade uppgifter och handlingar;

Svensk författningssamling

KONCERNSEKRETESSAVTAL

SUA Nivå 1 Anvisningar gällande Säkerhetsskydd

Policy för säkerhetsskydd

FÖRSVARETS FÖRFATTNINGSSAMLING

Säkerhetsskyddsplan för Älvsbyns kommun

Ansökningsinbjudan ombyggnation RLC Uppsala

Säkerhetsklassning och säkerhetsprövning inom exploateringsnämndens verksamhet

Datum. Ansökan lämnas/skickas till Rikspolisstyrelsen, Registratorskontoret, Box , Stockholm

Datum. Området ligger centralt placerat i Linköping, intill Mjärdevi Science Park och Universitetssjukhuset.

Ansökningsinbjudan ombyggnation polishus i Lidköping

säkerhetsskyddad UPPHANDLING en vägledning

OBS SKA EJ FYLLAS I! ENDAST FÖR KÄNNEDOM.

1 (6) Datum. Rikspolisstyrelsen PVS/SE/Fysisk Säkerhet Christer Rundström Poliskommissarie Diarienr (åberopas)

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Svensk författningssamling 1988:868

Riksarkivets författningssamling

INNEHÅLLSFÖRTECKNING SÄKERHETSPRÖVNING AV PERSONER

Lag (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd

Lagrådsremiss. Säkerhetsprövning av offentliga ombud. Lagrådsremissens huvudsakliga innehåll. Regeringen överlämnar denna remiss till Lagrådet.

Riksdagsförvaltningens föreskrifter

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Säkerhetsföreskrifter Gäller från och med

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Polismyndighetens författningssamling

Svensk författningssamling

Industrisäkerhetsskyddsmanual ISM

OBS SKA EJ FYLLAS I! ENDAST FÖR KÄNNEDOM.

Lag (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd

Svensk författningssamling

SÄKERHETSSKYDDSAVTAL MELLAN KONUNGARIKET SVERIGES REGERING OCH STORHERTIGDÖMET LUXEMBURGS REGERING ÖMSESIDIGT UTBYTE OCH SKYDD

Rikspolisstyrelsens författningssamling

RUTIN FÖR SEKRETESS INOM SOCIALTJÄNSTEN

Sekretess och tystnadsplikt

Svensk författningssamling

INFORMATION OM SEKRETESS M M

Lag (1992:1300) om krigsmateriel

1. pröva frågor om godkännande, auktorisation och registrering enligt denna lag,

2.2 Säkerhetsprövning med säkerhetsbedömning och registerkontroll

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Monitorerares tillgång till Cosmic vid kliniska prövningar

Svensk författningssamling

Ramavtal teletekniska säkerhetsinstallationer inklusive drift och underhåll i Region syd

Svensk författningssamling

Svensk författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL

Svensk författningssamling

Transkript:

PVS-916-409/13 1 SÄKERHETSSKYDDSAVTAL (nivå 1) mellan RIKSPOLISSTYRELSEN, (202100-0076), Box 12256, 102 26 Stockholm som företräder staten, nedan kallad RPS och Företaget AB (org.nr), adress, postadress, nedan kallat Företaget träffar följande avtal om säkerhetsskydd 1 Bakgrund RPS och företaget avser att ingå ett avtal (Ramavtal) avseende installation och underhåll av Polisens dörrmiljö : Företaget ska få del av intresseanmälan avseende kommande förfrågningsunderlag angående projekt Polisens dörr och fönstermiljö. Uppdraget innebär att Företaget i sina egna lokaler kommer att hantera och förvara hemliga uppgifter. Säkerhetsskyddet ska förebygga; att hemliga uppgifter obehörigen röjs, ändras, görs otillgängliga för behöriga eller förstörs (informationssäkerhet) att obehöriga får tillgång till hemliga uppgifter eller verksamhet som har betydelse för rikets säkerhet eller till skydd mot terrorism (tillträdesbegränsning), och att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet eller till skydd mot terrorism (säkerhetsprövning) Andra säkerhetsskyddsåtgärder är utbildning och kontroll. Detta avtal avser säkerhetsskydd för uppgifter som på RPS omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet och skyddet mot terrorism. En sådan uppgift benämns fortsättningsvis hemlig uppgift. En hemlig uppgift kan framgå av en handling, ett visst förhållande, en anläggning eller föremål av olika slag. 2 Avtalets omfattning, Detta säkerhetsskyddsavtal tillsammans med Företagets säkerhetsskyddsinstruktion reglerar vilka säkerhetsskyddsåtgärder som Företaget ska vidta i samband med Uppdraget. De ekonomiska villkoren avseende Uppdraget regleras i ett kontrakt, nedan kalla Affärsavtalet. Detta säkerhetsskyddsavtal är en förutsättning men utgör ingen utfästelse eller garanti för att RPS ska teckna Affärsavtal med Företaget. Om det förekommer motstridiga uppgifter i Affärsavtalet gäller detta säkerhetsskyddsavtal framför Affärsavtalet. Motsvarande skrivning ska även tas in i Affärsavtalet.

2 Företaget får endast använda underleverantörer som har tecknat säkerhetsskyddsavtal med RPS. 3 Säkerhetsskyddsorganisation Det ska finnas en säkerhetsskyddschef och en ställföreträdande säkerhetsskyddschef på Företaget. Säkerhetsskyddschefen ska i Uppdragets säkerhetsskyddsfrågor vara direkt underställd Företagets ledning. Säkerhetsskyddschefen leder säkerhetsskyddsverksamheten inom Företaget och är kontaktperson i säkerhetsskyddsfrågor gentemot RPS. På Företaget ska det även finnas en systemsäkerhetsansvarig för IT-system som är avsedda för behandling av hemliga uppgifter.. 4 Säkerhetsskyddsåtgärder Företaget ska upprätta en säkerhetsskyddsinstruktion när säkerhetsskyddsavtalet har undertecknats. Säkerhetsskyddsinstruktionen inklusive eventuella förändringar eller tillägg i säkerhetsskyddsinstruktionen ska godkännas av RPS. Företaget ska dokumentera de säkerhetsskyddsåtgärder som har vidtagits i Uppdraget. 5 Behörighet Behörig att ta del av hemliga uppgifter är endast personer som; bedöms pålitliga från säkerhetssynpunkt har tillräckliga kunskaper om säkerhetsskydd behöver uppgifterna för sitt uppdrag eller arbete i den verksamhet där de hemliga uppgifterna förekommer Hemliga uppgifter får endast delges personer som har säkerhetsprövats och godkänts av RPS. 6 Informationssäkerhet RPS ska klargöra för Företaget i vilken utsträckning handlingar med mera som överlämnas till Företaget innehåller hemliga uppgifter. Om hemliga uppgifter uppkommer under Uppdragets utförande på Företaget, ska Företaget vidta de säkerhetsskyddsåtgärder som är nödvändiga. Företaget ska utan dröjsmål meddela RPS om hemliga uppgifter har uppkommit samt vilka säkerhetsskyddsåtgärder som har vidtagits. RPS ska alltid godkänna utrymmen som används vid hantering och förvaring av hemliga uppgifter. Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av RPS. Beträffande hemliga uppgifter i IT-miljö gäller för Uppdraget bestämmelserna i bilaga 1. Företaget bör klargöra för RPS i vilken utsträckning uppgifter avseende affärs- eller driftsförhållanden som överlämnas till RPS är att anses som hemliga, samt varför Företaget kan komma att lida skada om dessa röjs (enligt offentlighets- och

sekretesslagen [2009:400]). Företaget är dock medvetet om att RPS ändå kan vara skyldig att lämna ut sådana uppgifter. 3 Företaget får inte utan RPSs tillstånd lämna uppgifter till massmedia som rör Uppdraget och som enligt RPS innehåller hemlig uppgift. Detsamma gäller för publicering i broschyrer, tidskrifter, böcker, filmer etc., samt vid föredrag, utställningar och förevisningar dit personer som inte är behöriga ( 5) har tillträde. Företaget får inte utan RPSs tillstånd offentliggöra att de träffat ett säkerhetsskyddsavtal. Denna information får därmed inte användas i marknadsföring eller på annat sätt. 7 Tillträdesbegränsning RPS ska i samråd med Företaget fastställa nivån på tillträdesskyddet för de lokaler och områden eller motsvarande som Företaget avser att använda vid genomförandet av Uppdraget. Detta ska ske innan Företaget får del av hemliga uppgifter eller den säkerhetskänsliga verksamheten påbörjas. Företaget får inte utan RPSs godkännande byta eller använda andra lokaler, områden eller motsvarande för Uppdragets genomförande. Endast behöriga personer som har godkänts av RPS får ha tillträde till de lokaler, områden eller motsvarande där Uppdraget genomförs. 8 Säkerhetsprövning Innan person får del av hemliga uppgifter ska Företaget genom säkerhetsprövning pröva vederbörandes lojalitet och pålitlighet från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta varje person som får del av hemlig uppgift, oavsett om de blir föremål för registerkontroll enligt säkerhetsskyddslagen (1996:627) eller inte. Säkerhetsprövning ska omfatta en personbedömning samt inhämtande av betyg, intyg och referenser. Är befattningen placerad i säkerhetsklass ska säkerhetsprövningen även omfatta registerkontroll och i vissa fall särskild personutredning. Säkerhetsprövningen ska dokumenteras av Företaget och på begäran lämnas till RPS. Tillsammans med uppgifter som har framkommit vid registerkontroll och särskild personutredning utgör säkerhetsprövningen underlag för RPSs beslut om att personen får anlitas. Företaget får inte anlita personen innan Företaget har fått del av RPSs beslut. Innan en ansökan om registerkontroll skickas till RPS ska Företaget särskilt informera den person som ska bli föremål för registerkontroll om vad kontrollen innebär. Företaget ska i samband med detta också inhämta personens samtycke till kontrollen. Samtycket ska dokumenteras och förvaras på Företaget. Företaget ska utan dröjsmål anmäla till RPS om en registerkontrollerad person på Företaget lämnar uppdraget. RPS ska utan dröjsmål anmäla till Säkerhetspolisen att personen har lämnat Uppdraget. Företaget ska till RPS anmäla omständigheter som kan vara av betydelse för bedömningen av en säkerhetsprövad persons lämplighet och pålitlighet. Om en person som har säkerhetsprövats inom ramen för detta säkerhetsskyddsavtal under Uppdragets genomförande befinns olämplig från säkerhetssynpunkt, ska Företaget

vidta de åtgärder som är lämpliga för att vederbörande inte ska få tillgång till hemliga uppgifter eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs. 4 9 Intern utbildning och kontroll RPS ska innan Uppdraget påbörjas ge lämplig utbildning i säkerhetsskyddsfrågor till de personer på Företaget som kan komma att få del av hemlig uppgift eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs. Därefter ansvarar Företaget för att dessa personer ges behövlig och fortlöpande utbildning. Utbildningen ska bland annat behandla: hot och risker som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget säkerhetsskyddsåtgärder som enligt Företagets säkerhetsskyddsinstruktion ska vidtas mot föreliggande hot och risker RPS kan vid behov och efter särskild framställan medverka i viss utbildning som Företaget ger. Företaget ska fort löpande kontrollera att endast behöriga personer som har godkänts av RPS anlitas och att säkerhetsskyddet avseende informationssäkerhet och tillträdesbegränsning iakttas, samt att skyddsnivån är jämn och tillräckligt hög. Företaget ska omedelbart underrätta RPS om inträffade eller befarade händelser och omständigheter som kan påverka säkerhetsskyddet vad avser Uppdraget och personer som faller under detta avtal. 10 Tillsyn RPS har rätt att kontrollera att de i säkerhetsskyddsinstruktionen redovisade och avtalade säkerhetsbestämmelserna följ. Vid en sådan tillsyn kan RPS biträdas av en representant från Säkerhetspolisen och/eller Försvarsmakten. Tillsynen ska ske under Företagets ordinarie kontorstid eller på plats och tid enligt särskild överenskommelse. Tillsynen får inte vara mer ingripande för Företaget än vad som är nödvändigt. 11 Kostnader Företaget ska bära eventuella kostnader som uppkommer med anledning av detta säkerhetsskyddsavtal om inget annat avtalats i Affärsavtalet. 12 Övrigt Hemliga uppgifter som har tillförts eller uppkommit under Uppdragets genomförande ska även efter att avtalet har upphört, eller till dess att RPS meddelar något annat, omfattas av tystnadsplikt. Företaget ska informera berörd personal om innebörden av tystnadsplikten och säkerhetsskyddet samt se till att personalen undertecknar sekretessförbindelser. Dessa förvaras på Företaget så länge Uppdraget pågår. När Uppdraget är slutfört lämnas sekretessförbindelserna till RPS. Företaget ska utan dröjsmål anmäla till RPS när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Avser ändringen firma, organisationsnummer, styrelse, verkställande

5 direktör eller revisor ska ett nytt registreringsbevis från Bolagsverket bifogas anmälan. En anmälan ska också göras om ägarförhållandena ändras, om Företaget råkar i ekonomiska svårigheter eller försätts i konkurs. Samtliga handlingar, material eller övrigt som innehåller hemliga uppgifter och som har anknytning till Uppdraget är RPSs egendom om inget annat har avtalats. Dessa handlingar eller dylikt ska senast i samband med fullgjort Uppdrag återlämnas till RPS eller vid den tidpunkt som parterna särskilt har kommit överens om. 13 Avtalsperiod Detta säkerhetsskyddsavtal träder i kraft vid undertecknandet och gäller tills vidare eller till dess det skriftligen med en uppsägningstid om tre (3) månader sägs upp av endera parten. Avtalet kan dock inte ensidigt sägas upp till en tidigare tidpunkt än den dag då Uppdraget har slutförts eller alla hemliga uppgifter har återlämnats till RPS. RPS kan dock ensidigt säga upp detta avtal liksom Affärsavtalet med omedelbar verkan om Företaget frångår detta avtal. Detta avtal har upprättats i två (2) likalydande exemplar varav parterna har tagit var sitt. Stockholm 2013-- X 2013- Rikspolisstyrelsen Företagets namn............................................. (Namnteckning) Säkerhetsskyddschef

BILAGA 1 TILL SÄKERHETSSKYDDSAVTAL Nivå 1 Bestämmelser avseende informationssäkerhet för hemliga uppgifter i IT-miljö 1. ALLMÄNT Denna bilaga innehåller bestämmelser avseende hantering av hemliga uppgifter i ITmiljö som rör Uppdraget. Det som har avtalats avseende hemliga uppgifter gäller även för kvalificerat hemliga uppgifter, om inte annat anges. Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten. Företaget ska samråda med Myndigheten om osäkerhet uppstår angående vad som ska betraktas som hemlig uppgift. Företaget ska dokumentera mål och riktlinjer för säkerheten i IT-system från anskaffning till avveckling. Företaget ska även dokumentera instruktioner för användning, förvaltning och drift av IT-system som är avsedda för behandling av hemlig uppgift. Dokumentationen avseende mål och riktlinjer samt instruktionerna ska godkännas av Myndigheten. IT-system får inte tas i drift förrän Myndigheten har godkänt systemen för behandling av hemlig uppgift. Inför godkännandet ska IT-systemet granskas för att verifiera att det uppfyller kraven på säkerhetsskydd. Vid granskningen är det särskilt viktigt att granska om IT-systemet samverkar med andra IT-system. Granskningen ska ske av annan än den som uppförde systemet. Granskningen ska dokumenteras. 2. IT-SYSTEM FÖR BEHANDLING AV HEMLIG UPPGIFT Ett IT-system kan utgöras av en fristående dator som har en löstagbar hårddisk, eller ett fysiskt separat nätverk med flera datorer. En okrypterad dataförbindelse får användas för hemlig uppgift inom ett område eller en lokal som disponeras av Företaget om Företaget har vidtagit och dokumenterat betryggande åtgärder mot obehörig avlyssning, och om Myndigheten har godkänt detta. Hemlig uppgift får inte behandlas i ett IT-system som har externa nätverkskopplingar om inte Myndigheten har medgett annat. Om Myndigheten medger externa nätverkskopplingar får hemlig uppgift sändas via ett elektroniskt kommunikationsnät endast om ett av Försvarsmakten godkänt signalskyddssystem (kryptosystem) används. Sändningen måste också ske enligt de bestämmelser som gäller för den aktuella sekretessnivån. Det är viktigt att försäkra sig om till vilket IT-system den hemliga uppgiften ska skickas. Samråd ska ske med Myndigheten innan sändning förekommer. 3. SYSTEMSÄKERHETSANSVARIG Företaget ska utse en systemsäkerhetsansvarig som ansvarar för säkerheten i det IT-system som ska hantera hemlig uppgift.

4. HANTERING AV ELEKTRONISKA HEMLIGA HANDLINGAR Hemlig uppgift i IT-system ska så långt praktiskt möjligt hanteras på samma sätt som hemlig handling. Hemlig elektronisk handling ska märkas enligt anvisningar i säkerhetsskyddsinstruktionen. En kvalificerad hemlig elektronisk handling får inte skicka elektroniskt. Anvisningar om övrig hantering av hemlig elektronisk handling anges i den av Företaget upprättade och av Myndigheten godkända säkerhetsskyddsinstruktionen. 5. BEHÖRIGHETSKONTROLL OCH SÄKERHETSLOGGNING Om IT-systemet utgörs av ett nätverk ska ett behörighetskontrollsystem användas där alla användare är unikt identifierbara och har ett personligt aktivt kort eller en säkerhetsdosa för att logga in i IT-systemet. Om IT-systemet utgörs av en fristående dator som nyttjas av flera personer ska det vid varje användning finnas ett behörighetskontrollsystem eller föras en förteckning i en kvittenslista. Alternativt kan varje individuell användare ha varsin löstagbar hårddisk. Det ska finnas en förteckning över vilka som har behörighet att använda IT-systemet. Denna förteckning ska sparas för att spårbarhet ska kunna uppnås i efterhand. Förteckningen ska överlämnas till Myndigheten när Uppdraget är avslutat. IT-systemet ska logga användaridentitet, datum och tidpunkt för inloggning och utloggning samt användaraktiviteter i övrigt som är av betydelse för säkerheten i systemet. Företaget ska dokumentera hur säkerhetsloggar ska analyseras. Myndigheten ska godkänna anvisningarna. Säkerhetsloggarna ska överlämnas till Myndigheten när Uppdraget är avslutat. 6. SKYDD MOT SKADLIG KOD Innan ny information tillförs IT-systemet ska informationen kontrolleras så att den inte innehåller skadlig kod. Programvara som skyddar mot skadlig kod ska uppdateras kontinuerligt. Företaget ska dokumentera skyddet mot skadlig kod och Myndigheten ska godkänna skyddet. 7. INTRÅNGSDETEKTERING OCH SKYDD MOT INTRÅNG IT-systemet ska vara försett med intrångsskydd och funktioner för intrångsdetektering. Företaget ska dokumentera intrångsskyddet och intrångsdetekteringen, och Myndigheten ska godkänna skyddet och detekteringen. 8. SKYDD MOT RÖJANDE SIGNALER OCH OBEHÖRIG AVLYSSNING Företaget ska analysera och dokumentera behovet av skydd mot röjande signaler. Myndigheten ska godkänna analysen. Om det behövs ska IT-systemet ha ett betryggande skydd mot röjande av signaler. IT-system ska vara försedda med betryggande skydd mot obehörig avlyssning.

9. INCIDENTHANTERING Företaget ska dokumentera rutiner för hantering, rapportering och uppföljning av incidenter av betydelse för säkerheten i eller kring ett IT-system. Myndigheten ska godkänna incidenthanteringen. 10. SÄKERHETSKOPIERING Säkerhetskopior ska tas enligt en Företaget dokumenterad rutin, och förvaras avskilt från den plats där det berörda IT-systemet finns. Säkerhetskopiorna ska testas regelbundet och förvaras i ett godkänt säkerhetsskåp. Säkerhetskopiorna bör krypteras. Myndigheten ska godkänna rutinerna för säkerhetskopiering. 11. KONTINUITETSPLAN Företaget ska bedöma och dokumentera den längsta tid som IT-systemet kan vara ur funktion utan att Uppdraget i väsentlig omfattning störs. Företaget ska också bedöma och dokumentera vilken reservrutin som ska användas om det inträffar. Myndigheten ska godkänna kontinuitetsplanen. 12. HANTERING AV UTSKRIFTER Skrivare eller plotter ska vara placerad i nära anslutning till och inom synhåll från den dator där utskriften upprättas. 13. HANTERING AV DIGITALA LAGRINGSMEDIER En dator med inbyggd hårddisk ska vara inlåst i ett godkänt säkerhetsskåp (SS 3492). Har datorn en löstagbar hårddisk ska hårddisken förvaras i säkerhetsskåpet. Även andra lagringsmedier som disketter, CD- eller DVD-skivor och USB-minnen, som innehåller hemlig uppgift, ska förvaras i säkerhetsskåp. Endast behörig personal får ha tillgång till säkerhetsskåpet. Ett lagringsmedium som innehåller eller har innehållit hemlig uppgift får endast återanvändas inom Uppdraget av behörig person. Ett sådant lagringsmedium får endast användas i utrustning som har godkänts för hantering av hemlig uppgift. Ett lagringsmedium som innehåller eller har innehållit hemlig uppgift ska vara försett med en varaktig hemligbeteckning. En förteckning ska föras som beskriver innehållet på lagringsmediet, för att underlätta utredning av vilka uppgifter som har förlorats vid en eventuell förlust av lagringsmediet. Lagringsmedier ska inventeras på samma sätt som hemlig handling. När ett lagringsmedium utrangeras ska det överlämnas till Myndigheten för destruering, alternativt förstöras enligt Myndighetens anvisningar. Ett lagringsmedium får inte lämna Företagets lokaler utan Myndighetens godkännande. Om ett lagringsmedium medförs från Företagets lokaler ska det hållas under omedelbar uppsikt eller förvaras på ett sätt som motsvarar den säkerhetsskyddsnivå som gäller för förvaring av lagringsmediet inom Företagets lokaler. Under transport ska, i förekommande fall, den hemliga uppgiften krypteras med av Myndigheten godkänd kryptoprodukt.

14. UNDERHÅLL Vid service och underhåll av lagringsmedier som innehåller hemlig uppgift får Företaget endast använda personal som är behörig att ta del av hemlig uppgift enligt säkerhetsskyddsavtalet.

RIKSPOLISSTYRELSEN PVS / SE 1(12) FÖRSLAG TILL S Ä K E R H E T S S K Y D D S I N S T R U K T I O N Innehållsförteckning Sida 1. Syfte 2 2. Begreppsförklaringar 2 3. Säkerhetsskyddsorganisation 3 4. Säkerhetsskyddsmän 4 5. Val av personal och underleverantör 4 6. Framställning av hemlig handling 4 7. Registrering 5 8. Kvittering 5 9. Förvaring 6 10. Låskod/Nyckel 6 11. Inventering/Gallring 7 12. Förlust m.m. 8 13. Förstöring m.m. 8 14. Befordran av hemlig handling 8 15. Befordran med bud 9 16. Befordran med post 9 17. Befordran på annat sätt 10 18. Röjande signal (RÖS) 10 19. IT-säkerhet 10 20. Tystnadsplikt/Sekretessbevis 10 21. Tillträdesbegränsning 11 22. Intern utbildning 11 23. Kontroll 11 24. Redovisning 12 25. Övrigt 12

SÄKERHETSSKYDDSINSTRUKTION 2(12) 1. SYFTE Denna instruktion skall gälla i tillämpliga delar för XX AB med org.nr XXXXXX-XXX. Nedan kallat Företaget. Detta föranlett av att Företaget effektuerar en beställning där säkerhetsskydd krävs enligt 8 säkerhetsskyddslagen (1996:627). Det åligger berörd personal inom Företaget att noggrant följa föreskrifterna i denna instruktion. 2. BEGREPPSFÖRKLARINGAR SUA-arbete Uppdrag eller arbete som med hänsyn till rikets säkerhet skall hållas hemligt enligt ett säkerhetsskyddsavtal som upprättats mellan en beställande myndighet och en leverantör. I SUA kan ingå studie/planering, utveckling/projektering, anbudsgiv-ning, upphandling, prov och försök samt produktion. Även garanti-åtgärder kan omfattas av SUA. Ett SUA-arbete föreligger fr.o.m. att en myndighet beslutat sätta igång ett projekt som efter bedömning kan antas innehålla hemliga uppgifter och där i något avseende annan myndighet, företag eller enskild person kan komma att anlitas som anbudsgivare, leverantör, entreprenör eller konsult. Beställande myndighet Staten, kommunerna, landstingen eller ett verksamhetsställe med ekonomiskt ansvar som själv tar initiativ till och ombesörjer eller påbörjar en SUA. Beställare är även den som efter ett uppdrag fullföljer av annan beställare påbörjat arbete och som enligt 8 säkerhets-skyddslagen skall träffa avtal om sådant arbete. Leverantör Myndighet, företag (aktie-, handels-, kommanditbolag, ekonomisk förening eller enskild firma) eller tillhörande filial, region- eller lokal-kontor eller organisation som en beställande myndighet avser anlita för SUA såsom anbudsgivare eller leverantör. Med leverantör avses i registerkontrollsammanhang ägare, verkseller institutionschef eller, beträffande aktiebolag styrelsen och verkställande direktör. Hemlig uppgift Med hemlig uppgift förstås uppgift som omfattas av sekretess enligt Offentlighets- och sekretesslagen ( 2009:400) och som rör rikets säkerhet.

Hemliga uppgifter kan framgå av handlingar, visst förhållande, anläggning, föremål eller muntlig uppgift. Behörig att ta del av hemliga uppgifter är endast den som 1. bedöms pålitlig från säkerhetssynpunkt, 2. har tillräckliga kunskaper om säkerhetsskydd, och 3(12) 3. behöver uppgifterna för sitt arbete i den verksamhet där de hemliga uppgifterna förekommer. Alla andra är obehöriga att ta del av hemlig uppgift. Säkerhetsskyddsavtal Ett skriftligt avtal vid SUA som ingås mellan beställande myndighet och leverantör angående det säkerhetsskydd som bedöms nödvändigt för den enskilda upphandlingen. Ett säkerhetsskyddsavtal skall träffas/bekräftas vid varje SUA-upphandling. 3. SÄKERHETSSKYDDSORGANISATION Säkerhetsskyddschef med ställföreträdare skall finnas vid Företaget. Säkerhetsskyddet inom Företaget planläggs, leds och övervakas av säkerhetsskyddschefen. Säkerhetsskyddschefen skall i fråga om säkerhetsskyddstjänsten lyda direkt under Företagets ledning. Säkerhetsskyddschefen är kontaktman till beställande myndighet och skall till denna ofördröjligen anmäla om - skadegörelse skett på försändelse med hemligt innehåll, - hemlig handling, hemligt material eller hemligt arbetsmateriel förkommit eller saknas, - brister i säkerhetsskyddet, som inte enkelt kan avhjälpas, som uppmärksammas inom Företaget eller hos underleverantör - obehörig söker skaffa upplysning om hemligt förhållande - misstanke föreligger om brott såsom spioneri, sabotage eller liknande. - inbrott skett vid Företaget eller hos enskild anställd vilken deltar i SUA-arbete Säkerhetsskyddschefen skall dessutom - snarast göra en polisanmälan om dröjsmål kan innebära att

bevis går förlorade eller utredning av en händelse äventyras. - dokumentera förhållanden och åtgärder om säkerhetsskyddet - föra förteckning över behöriga med ev. fördelning på aktuella säkerhetsklasser. 4. SÄKERHETSSKYDDSMÄN 4(12) Vid behov utser Företaget säkerhetsskyddsmän som inom respektive arbetsområden övervakar efterlevnaden av gällande bestämmelser och till säkerhetsskyddschefen anmäler överträdelser och brister. Utsedda säkerhetsskyddsmän skall framgå av förteckning. 5. VAL AV PERSONAL OCH UNDERLEVERANTÖR Beställande myndighets skriftliga godkännande skall inhämtas avseende. - anställd person, innan denne informeras om eller tas i anspråk för SUA-arbete, - annan anställd vid Företaget vars uppgifter eller arbetsplats innebär att kännedom om hemliga uppgifter inte utan omfattande åtgärder kan undvikas, - annan person, som Företaget har för avsikt att anställa eller anlita för SUA-arbete och - underleverantör eller underentreprenör, innan sådan informeras om eller tas i anspråk för SUA-arbete. Beställande myndighets ställningstagande till lämplig personal för ett SUA-arbete och deras föreslagna inplacering i säkerhetsklass grundar sig på förslag från entreprenören/leverantören. Föreslagna personer skall därför vara kända av Företaget som lämpliga och pålitliga. Finns inte sådan kännedom skall denna införskaffas i likhet med vad som gäller för anställning av kvalificerade arbetskraft i allmänhet. Föreslagen personal skall informeras om att de kommer att registerkontrolleras (H SÄK SUA kap 3 Registerkontroll). Skriftlig bekräftelse av att berörd person lämnat sitt skriftliga samtycke till registerkontroll skall medfölja förslaget till begäran om registerkontroll. Löfte om anställning (motsv.) får under inga förhållanden lämnas innan beställande myndighets godkännande erhållits. 6. FRAMSTÄLLNING AV HEMLIG HANDLING Hemlig handling får med beställande myndighets medgivande framställas endast i det antal exemplar som oundgängligen erfordras för arbetet. Om en handling upprättas i flera exemplar skall dessa numreras. Består

handlingen av flera blad, skall sidorna numreras i löpande följd och 5(12) hopfästas. På första sidan skall anges antalet sidor, antalet exemplar, handlingens exemplarnummer och, om bilagor medföljer, deras antal. Såväl kopia av eller hemligt utdrag ur hemlig handing skall hemlig-stämplas och införas i register med angivande av datum, antal exemplar och hur dessa fördelas. På utdrag antecknas från vilken handling det gjorts. Fråga om hemligbeteckning av hemlig handling eller annat hemligt föremål skall överenskommas med beställande myndighet. Hemligt arbetsmaterial såsom koncept, extra kopior, datamedium, karbonpapper, tryckmedia eller liknande som använts vid framställning av hemlig handling, skall förstöras, när de inte längre behövs. Karta, bild eller motsvarande som upprättats med användande av hemligt kart- eller bildmaterial skall behandlas som hemlig handling. Uppkommer fråga om spridning - publicering - skall godkännande härför via beställande myndighet inhämtas hos Statens lantmäteriverk. 7. REGISTRERING Hemliga handlingar införs av säkerhetsskyddschefen eller av utsedd behörig (registrator) i särskilt register. Av registret skall framgå - datum då handlingen mottagits eller avsänts, avsändare eller adressat samt i förekommande fall postens inlämningsnummer, - registreringsnummer i förekommande fall för såväl avsändare som mottagare, - handlingens innehåll i korthet (ärendemening), och antalet bilagor, - vem som öppnat eller emballerat försändelsen, om detta inte är fastställt genom Företagets organisation, - hos vem handlingen förvaras, - anteckning då kopia eller utdrag gjorts och - datum då handling förstörts, utbytts, saknas eller förkommit. Hemlig materiel registreras på motsvarande sätt. 8. KVITTERING Hemlig handling, hemlig materiel och hemligt arbetsmateriel skall kvitteras av mottagaren om intet annat överenskommits med

beställande myndighet. 6(12) Kvittering skall göras med namnteckning och namnförtydligande. Detta kan ske i register, liggare, på särskild kvittoblankett e.dyl. Om särskild kvittoblankett används skall kvittot upprättas i minst två exemplar. Då handlingen eller materielen återlämnas skall kvitteringen förses med anteckning härom. Originalkvitto skall återlämnas och dubblettkvitto (register/liggare) förses med anteckning om återlämnandet. Delgivning av en handling genom läsning eller på annat sätt skall bestyrkas på särskild lista med namnteckning och namnförtydligande. Hemlig handling eller del därav som innehåller bestyrkande om delgivning av handling skall då den inte längre behövs för uppdraget återlämnas till beställande myndighet. (Jämför punkterna 11 och 13). 9. FÖRVARING Hemliga föremål, handlingar och materiel förvaras så att inte någon obehörig kan komma åt dem. Hemliga handlingar skall förvaras i förvaringsutrymme med lägst skyddsnivå motsvarande säkerhetsskåp enligt Standardiseringskommissionens normer (SIS), Svensk Standard 3492. Den som har anförtrotts och kvitterat hemliga handlingar skall ha ett eget förvaringsutrymme. Bankfack och förvaringsutrymmen på t. ex. hotell kan inte godkännas. Beställande myndighet kan efter framställan i undantagsfall bevilja avsteg. Hemliga handlingar bör om möjligt förvaras åtskilda från öppna handlingar. Förvaringsutrymme för hemliga handlingar och materiel skall hållas låst under tider, då det inte står under omedelbar uppsikt av den som har ansvaret för detsamma. Under kortare frånvaro från tjänsterum får hemliga handlingar ligga framme under förutsättning att rummet är låst och insynsskyddat så att obehörig inte kan ta del av handlingarna. Hemligt materiel skall i tillämpliga delar förvaras på samma sätt som hemlig handling. Hemlig handling (materiel), som medförs från Företaget, skall hållas under omedelbar uppsikt eller förvaras under samma skydd som vid Företaget. För sådant medförande skall det finnas fullgoda skäl och tillstånd av vederbörlig säkerhetsskyddsansvarig. 10. LÅSKOD/NYCKEL Vid inköp av förvaringsrum eller dörr till fast förvaringsutrymme skall nyckel levereras separat och direkt till Företagets säkerhetsskyddschef. Innan nyckel lämnas till den som skall ansvara för förvaringsutrymmet, skall den förvaras av säkerhetsskyddschefen eller

7(12) av denne utsedd person. Sänds lås eller nyckel per post, skall försändelsen sändas som värdepost eller motsvarande och av en av beställande myndighet godkänd distributör. Säkerhetsskyddschefen eller av denne utsedd behörig skall föra förteckning över nycklar och koder till - förvaringsutrymmen för hemliga handlingar eller hemlig materiel, m.m. - rum där hemliga handlingar under kortare frånvaro får ligga framme, då rummet är insynsskyddat och låst med individuellt lås. - ytterdörrar till lokaler i vilka hemliga handlingar eller hemlig materiel förvaras. Av förteckningen skall framgå - vem som levererat lås och nycklar, - antal nycklar till varje förvaringsutrymme och lokal, - till vem och när nyckel utdelats eller återlämnats, - hur reservnyckel (kod) förvaras. Förteckning, nyckelkvittenser, reservnycklar och anteckningar om kod skall förvaras i för hemlig handling föreskriven ordning. Nyckel skall kvitteras och förvaras så att obehörig inte kan använda eller kopiera den. Vid överlämning av förvaringsutrymme skall nycklar återlämnas vilket skriftligt noteras i nyckelförteckning. Omställning av koder och, om möjligt lås, skall ske innan annan person får förvara hemlig handling eller material i samma förvaringsutrymme. Reservnyckel (kod) får av annan behörig än innehavaren till förvaringsutrymmet användas endast i vittnes närvaro. Användning av reservnyckel (kod) vid innehavarens frånvaro skall vara skriftligt bestyrkt av de båda närvarande. Om nyckel saknas skall anmälan omedelbart göras till säkerhetsskyddschefen. Om det befaras att nyckel kopierats eller att kod kommit till obehörigs kännedom eller att nyckel eller kod obehörigen utnyttjats, skall låset eller koden snarast ändras. Detsamma gäller om ett förvaringsutrymme skall övertagas av annan person. 11. INVENTERING/GALLRING Hemliga handlingar, hemligt materiel, nycklar och anteckningar om koder och kuvert skall tid efter annan, om möjligt en gång om året eller med lämpliga intervaller inventeras av säkerhetsskyddschefen. Vid

8(12) inventeringen skall bedömas om handlingar kan återlämnas till beställande myndighet eller förstöras (se punkt 13). Huvudregeln skall vara att endast handlingar som behövs skall behållas av den enskilde. Inventering skall i övrigt genomföras då - nyckel saknas, befaras ha kopierats eller om kod kommit till obehörigs kännedom. - befattningshavare lämnat sitt förvaringsutrymme öppet under sådan tid och under sådana förhållanden att obehörig kan ha tagit del av hemliga handlingar. - byte sker av befattningshavare. - anbud ej medfört upphandling. - slutbesiktning skett av fullgjort uppdrag. Inventeringsrapport skall avges till beställande myndighet minst en gång per år. 12. FÖRLUST Om en hemlig handling eller materiel eller misstanke om att obehörig tagit eller sökt ta befattning därmed, skall anmälan omedelbart göras till säkerhetsskyddschefen. Denne skall omgående underrätta företags-ledningen och den beställande myndigheten. 13. FÖRSTÖRING M.M. Hemlig handling, hemlig materiel och hemligt arbetsmateriel får förstöras endast genom beställande myndighets försorg eller enligt dess direktiv. Om hemlig handling, som erhållits från beställande myndighet, blir obrukbar, skall den omgående bytas ut hos myndigheten. Anteckning om eventuell förstöring och utbyte görs i registret. ( se punkt 7). 14. BEFORDRAN AV HEMLIG HANDLING Hemlig handling/uppgift får endast lämnas till den som är behörig och på sådant sätt att obehörig förhindras få del av den. Muntlig delgivning av hemliga uppgifter får endast ske i lokal eller på plats som är godkänd från säkerhetssynpunkt. Riskerna för obehörig avlyssning och insyn skall alltid beaktas. Befordran av hemlig uppgift med telekommunikation (radio, telefax, telex, telefon m.m.) får inte ske. Endast i fall av nöd får telefon användas och då med omskrivningar, täckbenämningar. Vid minsta

tveksamhet om andra partens identitet skall motringning ske. 9(12) Vid färd till eller från, samt besök vid hemlig anläggning skall mobil-telefon eller kommunikationsradio normalt vara frånslagen (strömmen bruten) inom ett säkerhetsavstånd av minst 40 km. Avsteg från ovanstående kan medges av beställande myndighet som då också anger villkor härför. Uppgift i t.ex. annonser, telefonkataloger, publikationer och på väg-visare, som på något sätt berör hemligt förhållande får inte ges utan beställande myndighet gett sitt godkännande. 15. BEFORDRAN MED BUD Som bud får endast anlitas den som från säkerhetsskyddssynpunkt bedöms vara pålitlig. Hemlig handling skall vara inlagd i kraftigt omslag som förhindrar läsning vid genomlysning och vara väl tillslutet. I stället för sådant omslag kan portfölj, dokumentlåda av god hållfasthet användas och med lås som har god dyrksäkerhet och till vilken endast avsändaren och mottagaren har nyckel. Vid budsändning till och från postanstalt förvaras värdeförsändelser i låst väska. Nyckel skall finnas hos postmästaren och hos av Företaget utsedd ansvarig. 16. BEFORDRAN MED POST Försändelse till eller från Företaget skall adresseras enligt överens-kommelse mellan Företaget och beställande myndighet. Om försän-delsen innehåller hemlig handling skall den behandlas som värdeför-sändelse och postens EssBrev REK användas. Hemlig handling skall vara inlagd i väl tillslutet värdekuvert yttre omslag. För att försvåra obehörigt öppnande och läsning vid genomlysning skall handlingen vara inlagd i ett innerkuvert med svärtad insida som klistras samman med värdekuvertet. Omslag kring tung eller skrymmande försändelse skall tåla stor påfrestning. Närmare anvisningar kan erhållas hos beställande myndighet. Av försändelsens yttre, adresskort, postbox och liknande får inte framgå att innehållet är hemligt. Den som hämtar REK eller ESS-brev Värdeförsändelse på postanstalt skall kontrollera att försändelsen överensstämmer med kvittensen och att försändelsen är oskadad. Om den är skadad, skall budet begära att anteckningar görs om skadans beskaffenhet. Mottagare vid Företaget skall kontrollera att försändelsen är oskadad.

10(12) Om försändelsen är skadad, skall anmälan omedelbart göras till säkerhetsskyddschefen, som ansvarar för att den beställande myndighet underrättas. Mottagare skall kontrollera att innehållet överensstämmer med uppgifter i huvudhandling, missiv, sändlista eller liknande. Om så inte är fallet, skall avsändare omedelbart underrättas. 17. BEFORDRAN PÅ ANNAT SÄTT Om praktiska skäl talar för att försändning eller transport bör ske på annat sätt skall detta regleras enligt överenskommelse med bestäl-lande myndighet. 18. RÖJANDE SIGNALER, (RÖS) All informationsbehandlande utrustning i användning avger oönskad strålning, "signaler", som kan röja den information som behandlas. Signalerna kan vara akustiska eller elektromagnetiska. Om de är tillräckligt starka, kan de gå utanför den använda utrustningen och lokalen där utrustningen finns och obehörigas avlyssning möjliggörs. Företaget skall inom ramen för överenskommelse med beställande myndighet hindra och försvåra dessa möjligheter till avlyssning. 19. IT-SÄKERHET För databearbetning av hemliga uppgifter krävs särskilt godkännande av beställande myndighet. Informationsteknologin (IT) inom Företaget skall tillgodose samma säkerhetsskyddskrav, som gäller för den informationsbehandling i övrigt som ingår i SUA-arbetet. Instruktionen följer vad som överenskommits i säkerhetsskyddsavtalet och vad som framgår av gällande föreskrifter och publikationen H SÄK IT. För information som inom Företaget behandlas med hjälp av IT, men som inte berörs av sekretess skall bestämmelser för informations-skyddet utformas i samråd med den beställande myndighetens IT-chef. Instruktionen utformas så att säkerhetsskyddet främst säkerställs mot följande hot. - Informationsröjning avlyssning - förstörelse av information - förvanskning av information - falsk identitet 20. TYSTNADSPLIKT OCH SEKRETESSBEVIS I fråga om hemlig information gäller tystnadsplikt i förhållande till alla

11(12) som inte är behöriga enligt punkt 2. De som är placerade i säkerhetsklass skall, genom säkerhetsskydds-chefens försorg, upplysas om omfattningen och innebörden av tystnadsplikten. Skriftligt bevis härom skall upprättas och förvaras av säkerhetsskyddschefen eller av denne utsedd behörig och på sådant sätt att det inte kan åtkommas av obehöriga. När leverantör upphör med sin verksamhet vid t.ex. konkurs eller nedläggning, skall undertecknade sekretessbevis sändas till beställande myndighet. 21. TILLTRÄDESBEGRÄNSNING Tillträdesskyddet skall hindra obehörigt tillträde till område, anläggning, inom eller del av Företaget, där hemlig uppgift eller annat av betydelse för rikets säkerhet förvaras eller verksamhet av sådan betydelse bedrivs. De väsentliga delarna av tillträdesbegränsningen utgörs av områdesskydd och av inre skydd. Områdesskyddet, skall med hjälp av inpasseringskontroll och andra bevakningsåtgärder hindra obehörig att komma in på Företagets område eller i dess lokaler. I områdesskyddet ingår tekniskt skydd som stängsel, larm och liknande. Det inre skydd skall alla anställda vid Företaget medverka i. Säkerhetspersonal kan bära särskilda igenkänningstecken. För identifiering av anställda eller endast av dem som deltar i SUA-arbetet tillhandahåller Företaget identitetshandling. 22. INTERN UTBILDNING Säkerhetsskyddschefen ansvarar för den behörighetsgrundläggande säkerhetsskyddsutbildningen samt att behörig personal fortlöpande erhåller tillräckliga kunskaper om föreskrifter och instruktioner rörande säkerhetsskyddet inom Företaget. 23. KONTROLL Säkerhetsskyddschefen skall fortlöpande kontrollera att endast godkänd personal anlitas och att föreskrifterna rörande informationssäkerhet, infiltrationsskydd och tillträdesbegränsning iakttas samt att skyddsnivån är jämn och tillräckligt hög. Säkerhetsskyddschefen skall hålla beställande myndighet underrättad om inträffade eller befarade händelser eller åtgärder som kan påverka säkerhetsskyddet kring det avtalade uppdraget. Anteckningar skall föras om vad som framkommit vid kontrollen. Dessa skall förvaras hos säkerhetsskyddschefen. Den beställande myndigheten kan kontrollera att överenskomna säkerhetsskyddsåtgäder följs vid Företaget. Sådan kontroll kan också

12(12) utföras av Säkerhetspolisen eller av Försvarsmakten efter samråd med den beställande myndigheten. Säkerhetsskyddschefen skall oberoende av myndighetens kontroller, se till att fel och brister i säkerhetsskyddet åtgärdas utan dröjsmål. 24. REDOVISNING I redovisningshandlingar, t ex fakturor, bokföringshandlingar, statistiska redovisningar av personal och varor som skall gå utanför den behöriga kretsen får inte uppgifter av hemlig karaktär ingå. I samband med SUA-arbete på hemlig plats får endast beställande myndighets beteckning beträffande arbete eller Företagets arbets-nummer, dock inte arbetsplatsen anges på faktura, reseräkning eller annan handling. 25. ÖVRIGT När leverantören ämnar vidta personella förändringar beträffande säker-hetspersonalen, skall detta omgående meddelas till beställande myndighet. Detsamma gäller när leverantören byter namn, styrelse, adress, försätts i konkurs eller på annat sätt förändrar förutsättningarna för det ingångna säkerhetsskyddsavtalet. Säkerhetsskyddsinstruktionen: Fastställd av X-företaget Godkänd av Rikspolisstyrelsen 2013 - - 2013 - -............................................

RIKSPOLISSTYRELSEN 1(1) PVS /SE/Säk Bilaga till S Ä K E R H E T S S K Y D D S I N S T R U K T I O N E N Bifogad säkerhetsskyddsinstruktion skall gälla i tillämpliga delar för Detta med anledning av att företaget för Rikspolisstyrelsen utför ett uppdrag eller arbete som med hänsyn till rikets säkerhet skall hållas hemligt enligt 8 säkerhetsskyddslagen (1996:627). 1. SÄKERHETSSKYDDSORGANISATION Säkerhetsskyddschef: Stf. säkerhetsskyddschef: IT-säkerhetsskyddschef: Säkerhetsskyddsman/män: Registrator: 2. FÖRVARINGSMÖJLIGHETER Säkerhetsskåp/ -utrymme: Typ/fabrikat och kod/nyckel för hemliga handlingar: för hemligt materiel: för nyckel/-ar: 3. LARM Larm installerat av: Larm terminerar till: Bilagan ifylles av säkerhetsskyddsansvarig och insänds till: RIKSPOLISSTYRELSEN, PVS/SE/Fysisk Säkerhet, Box 122 56, 102 26 Stockholm

1 Sekretessinformation 2013 Offentlighets- och sekretesslagen (2009:400) 15 kap. Sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer. 2 Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. I mål eller ärende enligt särskild lag om försvarsuppfinningar gäller dock sekretess för uppgift om sådana uppfinningar enligt föreskrifter i den lagen. I fråga om uppgift i allmän handling gäller sekretessen i högst fyrtio år. Om särskilda skäl föranleder det, får dock regeringen föreskriva att sekretessen skall gälla under längre tid. 18 kap Sekretess till skydd främst för intresset av att förebygga eller beivra brott. Förundersökningar, underrättelseverksamhet, m.m 1 Sekretess gäller för uppgift som hänför sig till förundersökning i brottmål eller till angelägenheter som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott, om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs. Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till 1. verksamhet som rör utredning i frågor om näringsförbud eller förbud att lämna juridiskt eller ekonomiskt biträde, 2. annan verksamhet än sådan som avses i 1 eller i första stycket som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, en polismyndighet, Skatteverket, Tullverket eller Kustbevakningen, eller 3. Finansinspektionens verksamhet som rör övervakning enligt lagen (2005:377) om straff för marknadsmissbruk vid handel med finansiella instrument. För uppgift i en allmän handling gäller sekretess i högst fyrtio år.

2 Säkerhets- eller bevakningsåtgärder 8 Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärder, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser : 1. byggnader eller andra anläggningar, lokaler eller inventarier, 2. tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, 3. telekommunikation eller system för automatiserad behandling av information, 4. behörighet att få tillgång till upptagning för automatiserad behandling av information, 5. den civila luftfarten eller den civila sjöfarten, 6. transporter på land av farligt gods, eller 7. hamnskydd. Chiffer, kod, m.m. 9 Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs och metoden har till syfte att 1. underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts, eller 2. göra det möjligt att kontrollera om data i elektronisk form har förvanskats. Körkorts referensnummer 10 Sekretess gäller i verksamhet som avser förande av eller uttag ur vägtrafikregistret för uppgift om körkorts referensnummer, om det inte står klart att uppgiften kan röjas utan fara för att kontrollen av körkorts äkthet motverkas. 7 Säkerhetsskyddsförordningen Behörighet. Om inte något annat följer av bestämmelserna i lag, är endast den behörig att ta del av hemliga uppgifter som 1. bedöms pålitlig från säkerhetssynpunkt 2. har tillräckliga kunskaper om säkerhetsskydd, och 3. behöver uppgifterna för sitt arbete i den verksamhet där de hemliga uppgifterna förekommer

3 Förteckning skall finnas upprättad över de tjänstemän hos myndigheten/ leveran-tören, som uppfyller kraven enligt p. 1-3 ovan och som i tjänst avses få del av hemliga uppgifter. Prövning skall ske i den ordning som regleras genom myndig-hetens särskilda föreskrifter om säkerhetsskydd (45 SSF). I fråga om hemliga uppgifter med kvalificerat hemligt innehåll, skall prövning göras av myndighetens chef. Enbart tjänsteställning innebär inte en rätt att få del av hemliga uppgifter Utdrag ur Brottsbalken 19 kap. 5 Den som, för att gå främmande makt tillhanda, obehörigen anskaffar, befordrar, lämnar eller röjer uppgift rörande försvarsverk, vapen, förråd, import, export, tillverkningssätt, underhandlingar, beslut eller något förhållande i övrigt vars uppenbarande för främmande makt kan medföra men för totalförsvaret eller eljest för rikets säkerhet, döms vare sig uppgiften är riktig eller ej, för spioneri till fängelse i högst sex år. Detsamma skall gälla, om någon i syfte som nu sagts obehörigen framställer eller tager befattning med skrift, teckning eller annat föremål som innefattar sådan uppgift. 6 Är brott som i 5 sägs att anse som grovt, skall dömas för grovt spioneri till fängelse på viss tid, lägst fyra och högst tio år, eller på livstid. Vid bedömande huruvida brottet är grovt skall särskilt beaktas, om gärningen var av synnerligen farlig beskaffenhet med hänsyn till pågående krig eller rörde förhållande av stor betydelse eller om den brottslige röjde vad som på grund av allmän eller enskild tjänst betrotts honom. 7 Den som utan syfte att gå främmande makt tillhanda, obehörigen anskaffar, befordrar, lämnar eller röjer uppgift rörande något förhållande av hemlig natur vars uppenbarande för främmande makt kan medföra men för rikets försvar eller för folkförsörjningen vid krig eller av krig föranledda utomordentliga förhållanden eller eljest för rikets säkerhet, döms vare sig uppgiften är riktig eller ej, för obehörig befatt-ning med hemlig uppgift till böter eller fängelse i högst två år. 8 Är brott som i 7 sägs anses som grovt, skall för grov obehörig befattning med hemlig uppgift dömas till fängelse i högst fyra år. Vid bedömande huruvida brottet är grovt skall särskilt beaktas, om gärningen infattade tillhandagående av främmande makt eller var av synnerligen farlig beskaffenhet med hänsyn till pågående krig eller rörde förhållande av stor betydelse eller om den brottslige röjde vad som på grund av allmän eller enskild tjänst betrotts honom. 9 Den som av grov oaktsamhet befordrar, lämnar eller röjer sådan uppgift som avses i 7 döms för vårdslöshet med hemlig uppgift till böter eller fängelse i högst sex månader eller, om riket var i krig, till böter eller fängelse i högst två år. 10 Den som, för att gå främmande makt tillhanda, här i riket bedriver verksamhet för anskaffande av uppgifter rörande militära eller andra förhållanden,

4 vilkas uppenbarande för den främmande makten kan medföra men för annan främmande makts säkerhet, eller här i riket till dylik verksamhet lämnar medverkan som ej är allenast tillfällig, dömes för olovlig underrättelseverksamhet till böter eller fängelse i högst två år. För olovlig underrättelseverksamhet skall ock dömas, om någon, med uppsåt att gå främmande makt tillhanda, här i riket hemligen eller med användande av svikliga medel antingen bedriver verksamhet för anskaffande av uppgifter om annans personliga förhållanden eller till dylik verksamhet lämnar medverkan som ej är allenast tillfällig. Är brott som i denna paragraf sägs grovt, döms till fängelse, lägst sex månader och högst fyra år. 14 För försök, förberedelse eller stämpling till högförräderi, trolöshet vid förhandling med främmande makt, spioneri, grovt spioneri, grov obehörig befattning med hemlig uppgift eller olovlig underrättelseverksamhet, så ock för försök eller förberedelse till obehörig befattning med hemlig uppgift dömes till ansvar enligt vad i 23 kap stadgas. Såsom stämpling till högförräderi skall även anses att träda i förbindelse med främmande makt för att förbereda, möjliggöra eller underlätta att sådant brott må förövas. Den som underlåter att avslöja högförräderi, trolöshet vid förhandling med främmande makt, spioneri, grovt spioneri eller grov obehörig befattning med hemlig uppgift, dömes dock till ansvar enligt vad i 23 kap sägs och skall till sådant ansvar dömas jämväl om han icke insett men bort inse att brottet var å färde. 15 Om någon med hänsyn till vad honom veterligt, på grund av meddelad varning eller eljest bort inse att högförräderi, trolöshet vid förhandling med främmande makt, spioneri, grovt spioneri eller grov obehörig befattning med hemlig uppgift är å färde, medverkar till gärningen, dömes till ansvar såsom medhjälp därtill, dock må ej dömas till svårare straff än fängelse i två år. Utdrag ur Brottsbalken 20 kap. 3 Röjer någon uppgift, som han är pliktig att hemlighålla enlig lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning eller utnyttjar han olovligen sådan hemlighet döms, om ej gärningen eljest är särskilt belagd med straff, för brott mot tystnadsplikten till böter eller fängelse i högst ett år. Den som av oaktsamhet begår gärning, som avses i första stycket, döms till böter. I ringa fall skall dock ej dömas till ansvar. Utdrag ur Brottsbalken 23 kap. 3 Ansvar för försök, förberedelse eller stämpling till brott skall ej ådömas den som frivilligt, genom att avbryta gärningens utförande eller annorledes, föranlett att brottet ej fullbordats. Ändå att brottet fullbordats må den som tagit olovlig befattning med hjälpmedel ej på den grund dömas till ansvar, om han frivilligt förebyggt den brottsliga användningen av hjälpmedlet. 4 Ansvar som i denna balk är stadgat för viss gärning skall ådömas ej blott den som utfört gärningen utan jämväl annan som främjat denna med råd och dåd. Den

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss