Säkerhetsskyddsavtal. Avtal i Nivå 1 Avtal i Nivå 2 Avtal i Nivå 3

Relevanta dokument
SUA Nivå 1 Anvisningar gällande Säkerhetsskydd

Industrisäkerhetsskyddsmanual ISM

HANTERINGSFÖRESKRIFT HEMLIG/RESTRICTED

Rekryteringsmyndighetens interna bestämmelser

Säkerhetsskyddsavtal med bilaga, Nivå 1. mellan. Försvarets materielverk (FMV) STOCKHOLM. och. Företag AB (XXXXXX-XXXX) ORT

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Bilaga 3 Anvisningar gällande Säkerhetsskydd

Upprättande av säkerhetsskyddsavtal i Nivå 1

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Säkerhetsskyddsavtal med bilaga, Nivå 1 HEMLIG/RESTRICTED. mellan. Försvarets materielverk (FMV) STOCKHOLM. och

FÖRSVARETS FÖRFATTNINGSSAMLING

FÖRFATTNINGSSAMLING. Försvarsmaktens föreskrifter om skydd för utrikes- och sekretessklassificerade uppgifter och handlingar;

FÖRSVARETS FÖRFATTNINGSSAMLING

SÄKERHETSSKYDDSAVTAL (nivå 2)

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

1 (6) Datum. Rikspolisstyrelsen PVS/SE/Fysisk Säkerhet Christer Rundström Poliskommissarie Diarienr (åberopas)

Innehållsförteckning 1 Allmänt Organisation Säkerhetsskydd Säkerhetsskyddschefens uppgifter Säkerhetsskyddsanalys...

SÄKERHETSSKYDDSAVTAL. SÄKERHETSSKYDDSAVTAL Diarienr (åberopas vid korrespondens) Polisens verksamhetsstöd Administrativa enheten Upphandlingssektionen

Polismyndigheten, ( ), Box 12256, Stockholm som företräder staten, nedan kallad Polisen

Försvarets materielverk (FMV) org.nr STOCKHOLM. nedan kallad Myndigheten, och

RIKSPOLISSTYRELSEN, ( ), Box 12256, Stockholm som företräder staten, nedan kallad Myndigheten

Mall säkerhetsskyddsavtal (nivå 2)

Bilaga 5 Dnr: A /2015 1(12) POLISMYNDIGHETEN. Förslag till säkerhetsskyddsinstruktion

Säkerhetsskyddsplan. Styrande måldokument Plan Sida 1 (10)

SÄKERHETSSKYDDSAVTAL (nivå 3)

SÄKERHETSSKYDDSAVTAL (nivå 3)

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Säkerhetsskyddsavtal

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

UPPHANDLING AV DUELLSTÄLL TILL SKJUTBANOR

Datum: SÄKERHETSSKYDDSAVTAL (nivå 3) VID SÄKERHETSSKYDDAD UPPHANDLING (SUA).

Mall säkerhetsskyddsavtal (nivå 1)

Generell Säkerhetsskyddsinstruktion

Bilaga Utkast till Säkerhetsskyddsavtal (Nivå 1)

Bilaga Utkast till Säkerhetsskyddsavtal (Nivå 3)

KONCERNSEKRETESSAVTAL

Säkerhetsskyddsplan för Luleå kommun

Polismyndigheten i Uppsala län

Säkerhetsskydd en översikt. Thomas Palfelt

Polismyndighetens författningssamling

Sekretessavtal. (Projekt namn)

FÖRSVARETS FÖRFATTNINGSSAMLING

Datum Diarienr. /2015

Rikspolisstyrelsens författningssamling

Säkerhetsskyddsavtal

FÖRSVARETS FÖRFATTNINGSSAMLING

Säkerhetsföreskrifter Gäller från och med

Affärsverket svenska kraftnäts författningssamling Utgivare: chefsjurist Bertil Persson, Svenska Kraftnät, Box 1200, Sundbyberg ISSN

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Rikspolisstyrelsens författningssamling

Säkerhetsskyddsplan för Älvsbyns kommun

Riktlinjer för informationsklassning

Bilaga Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal

Gemensamma anvisningar för informationsklassning. Motala kommun

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARETS FÖRFATTNINGSSAMLING

Telias policy för utfärdande av företagskort med e-legitimation

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Riktlinjer för tillträdesskydd Landstinget i Kalmar län

Riktlinjer för Informationssäkerhet

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

PERSONUPPGIFTSBITRÄDESAVTAL

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

PERSONUPPGIFTSBITRÄDESAVTAL

Föreningstränare - Regler

Datum. Vid säkerhetsskyddad upphandling med säkerhetsskyddsavtal

Personuppgiftsbiträdesavtal

Tillägg om Zervants behandling av personuppgifter

Rikspolisstyrelsens författningssamling

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

ATT FASTSTÄLLA ARKIVANSVAR OCH ARKIVORGANISATION. en handledning för myndigheter i Västra Götalandsregionen och Göteborgs Stad

PERSONUPPGIFTSBITRÄDESAVTAL

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA /1121 Håkan Lövblad

SÄKERHETSSKYDDSAVTAL MELLAN KONUNGARIKET SVERIGES REGERING OCH STORHERTIGDÖMET LUXEMBURGS REGERING ÖMSESIDIGT UTBYTE OCH SKYDD

Personuppgiftsbiträdesavtal

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

TILLTRÄDESREGLER TILL TERACOMS ANLÄGGNINGAR. Giltig from Säkerhetsavdelningen

Säkerhetsskyddsavtal Nivå 1

Säkerhetsföreskrifter Gäller från

Riksdagsförvaltningens föreskrifter

Lås- och behörighetshantering

Skåne läns författningssamling

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Skydd mot stöld av datorutrustning

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Styrelsens för ackreditering och teknisk kontroll författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Svensk författningssamling

TSFS 2018:93. 1 kap. beslutade den 12 november 2018.

Personuppgiftsbiträdesavtal

Rekryteringsmyndighetens interna bestämmelser

Rikspolisstyrelsens författningssamling

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Transkript:

INDUSTRISÄKERHETSSKYDDSMANUAL 1(25) 2. Nivå 1-avtal Detta kapitel med relevanta bilagor gäller för alla Företag som har eller skall teckna säkerhetsskyddsavtal i Nivå 1, det vill säga avtal som medger all hantering och förvaring av hemlig uppgift i egna lokaler. Kraven gäller endast för de utrymmen inom verksamhetsställen där hemlig uppgift hanteras och förvaras. Säkerhetsskyddsavtal Industrisäkerhetsskyddsmanual Avtal i Nivå 1 Avtal i Nivå 2 Avtal i Nivå 3 2.1. Informationssäkerhet 2.1.1. Hantering och förvaring Hemlig uppgift får endast hanteras och förvaras i av FMV skriftligen godkända lokaler. 2.1.2. Delgivning av hemlig uppgift Hemlig uppgift får delges endast i Företaget anställd person som är behörig ur säkerhetsskyddssynpunkt. Företaget skall tillse att obehöriga personer inte har möjlighet att ta del av hemlig uppgift. Personal som delges hemlig uppgift omfattas av tystnadsplikt. All personal som skall delta i arbete där hemlig uppgift förekommer skall, innan detta påbörjas, informeras om innebörden och räckvidden av tystnadsplikten samt kvittera detta genom att underteckna ett sekretessbevis. Undertecknade sekretessbevis skall förvaras vid Företaget, med undantag för sekretessbevis för Företagets säkerhetschef som skall förvaras vid FMV. Hemlig uppgift, ingående i ett uppdrag eller förfrågningsunderlag/ upphandlingskontrakt, får endast efter FMV skriftliga medgivande delges annat svenskt Företag/myndighet eller annan än vid Företaget behörig anställd svensk medborgare. Utländsk myndighet/företag/organisation/medborgare får inte delges hemlig uppgift utan att FMV lämnat Företaget skriftligt medgivande. Observera att detta även gäller utländsk myndighets/företags/organisations anställda svenska medborgare med dubbelt medborgarskap.

ange 2(25) Hemlig uppgift, som erhållits eller uppkommit under fullgörandet av uppdrag, skall även efter uppdragets slutförande och säkerhetsskyddsavtalets upphörande hemlighållas. 2.1.3. Framställning av hemlig handling Hemlig handling får endast framställas i det antal exemplar som nödvändigt för arbetet. För framställning av hemlig handling innehållande KVALIFICERAT HEMLIG uppgift gäller särskilda bestämmelser vilka av Företaget i varje enskilt fall skall inhämtas från FMV Säkerhetsskydd i den mån de ej framgår av de med uppdraget erhållna säkerhetsskyddskraven eller PSI:n. Om en handling i informationssäkerhetsklass HEMLIG/SECRET eller HEMLIG/CONFIDENTIAL framställs skall denna sekretessmarkeras ( hemligstämplas ) och införas i register (diarium) med angivande av datum. Om en handling framställs i flera exemplar skall dessa numreras. Består handlingen av flera blad skall sidorna numreras i löpande följd och hopfästas. På första sidan skall anges antalet sidor, antalet exemplar, handlingens exemplarnummer och om bilagor medföljer. Utdrag ur hemlig handling innehållande hemlig uppgift skall hanteras enligt ovan. På utdraget skall antecknas från vilken handling utdraget gjorts. Hemlig handling i informationsklass HEMLIG/RESTRICTED skall sekretessmarkeras och införas i register med angivande av datum. I det fall hemlig uppgift framställs elektroniskt, till exempel till en CD, skall CD:n registreras som hemlig handling, registreras, sekretessmarkeras och exemplarhanteras enligt ovan. De dokument som sparats på lagringsmediet och som utgör hemlig uppgift behöver inte registreras annat än i på lagringsmediet sparad dokumentförteckning. Utskrift av hemlig handling får endast ske på för aktuell informationssäkerhetsklass godkänd skrivare. Skrivaren skall vara skyltad så att det tydligt framgår att den får användas för utskrift av hemlig handling. Om skrivaren är försedd med inbyggd hårddisk eller annat bestående minne skall Företaget säkerställa att detta hanteras som hemlig handling. 2.1.4. Kopiering av hemlig handling På kopia skall finnas noterat från vilken dokumentexemplar kopian tagits, kopians nummer samt hur många kopior som tagits. På originalet skall antecknas referens till beslut (enligt Företagets rutin avseende kopieringsbeslut) om kopieringstillstånd samt hur många kopior som tagits och dessas exemplarnummer. För kopiering av hemlig handling innehållande KVALIFICERAT HEMLIG uppgift eller som av utgivaren åsatts beteckningen HEMLIG/TOP SECRET gäller särskilda bestämmelser vilka av Företaget i varje enskilt fall skall inhämtas från FMV Säkerhetsskydd i den mån de ej framgår av den med uppdraget erhållna säkerhetsskyddsplanen eller PSI:n. Vid kopiering av hemlig handling i informationssäkerhetsklass HEMLIG/RESTRICTED erfordras inte åtgärder enligt första stycket. Kopiering av hemlig handling får endast ske på för aktuell informationssäkerhetsklass godkänd kopiator. Kopiatorn skall vara skyltad så att det tydligt framgår att den får användas

ange 3(25) för utskrift av hemlig handling. Om kopiatorn är försedd med inbyggd hårddisk eller annat bestående minne skall Företaget säkerställa att detta hanteras som hemlig handling. I det fall hemlig uppgift kopieras elektroniskt, till exempel till en CD, skall CD:n registreras som hemlig handling, registreras, sekretessmarkeras och exemplarhanteras enligt ovan. De dokument som sparats på lagringsmediet och som utgör hemlig uppgift behöver inte registreras annat än i på lagringsmediet sparad dokumentförteckning. 2.1.5. Registratur Hemlig handling införs av behörig registrator i register. Av registret skall framgå: datum då handlingen mottagits eller avsänts, avsändare eller adressat samt i förekommande fall postens inlämningsnummer, registreringsnummer i förekommande fall för såväl avsändare som mottagare, handlingens innehåll i korthet i form av ärendemening (ärendemening får inte innehålla hemlig uppgift) samt antalet bilagor, hos vem handlingen förvaras, anteckning då kopia eller utdrag gjorts, datum då handling återsänts, förstörts, utbytts, saknats eller förkommit. Hemlig materiel skall registreras och sekretessmarkeras. Vad ovan sägs om hemlig handling avser även datamedia. FMV kan, om synnerliga skäl föreligger och efter ansökan från Nivå 1-Företaget, godkänna att registratorsfunktionen utförs med extern personal. Kostnadsskäl utgör inte synnerliga skäl. I det fall FMV godkänner att funktionen får utföras med extern personal skall säkerhetsskyddsavtal Nivå 2 tecknas mellan FMV och det Företag som utför uppdraget. Arbetet gällande registrering skall utföras inom Nivå 1-Företagets, av FMV godkända lokaler. 2.1.6. Kvittens Hemlig handling och hemlig materiel med informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre skall kvitteras av mottagaren. Kvittering skall göras med namnteckning och namnförtydligande. Detta skall ske i register, liggare eller särskild kvittoblankett. Om särskild kvittoblankett används skall kvittot upprättas i minst två exemplar. Då handlingen eller materielen återlämnas skall kvitteringen förses med anteckning härom. Originalkvitto skall återlämnas och dubblettkvitto förses med anteckning om återlämnandet. Delgivning av hemlig handling med informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre, genom läsning eller på annat sätt, skall bestyrkas på särskild lista (kvitto) med namnteckning och namnförtydligande. Kvitto/motsvarande för hemlig handling upp till och med HEMLIG/SECRET skall sparas i minst 10 år. Kvitto/motsvarande för hemlig handling upp till och med HEMLIG/TOP SECRET skall sparas i minst 25 år.

ange 4(25) 2.1.7. Förvaring 2.1.7.1. Allmänt Hemlig uppgift skall och får endast hanteras och förvaras i utrymmen skriftligen godkända av FMV Säkerhetsskydd. 2.1.7.2. KVALIFICERAT HEMLIG, HEMLIG/TOP SECRET För hemlig uppgift klassad KVALIFICERAT HEMLIG, HEMLIG/TOP SECRET gäller att uppgiften skall förvaras i värdeskåp enligt SS-EN 1143-1 grade IV med larmskydd som för säkerhetsskåp, se 2.7.5. Förvaringsenhet. 2.1.7.3. HEMLIG, HEMLIG/SECRET eller HEMLIG/CONFIDENTIAL Hemlig uppgift klassad HEMLIG, HEMLIG/SECRET eller HEMLIG/CONFIDENTIAL skall förvaras i godkänt säkerhetsskåp eller annan förvaringsenhet med motsvarande skyddsnivå som uppfyller fordringar enligt Svenska Stöldskyddsföreningens föreskrift SSF3492, alternativt i rum eller byggnad som då får ersätta användning av säkerhetsskåp. För krav på rum eller fristående byggnad då dessa nyttjas som förvaringsenhet, se under 2.7.5. Förvaringsenhet. Omslutningsyta: Skyddsklass 2, larmklass 2 med övervakad larmöverföring Säkerhetsskåp SSF3492 med erforderligt larmskydd eller värdeskåp SS-EN 1143-1 grade 0 med larmskydd som för säkerhetsskåp 2.1.7.4. HEMLIG/RESTRICTED Hemlig uppgift klassad HEMLIG/RESTRICTED skall förvaras i värdeförvaringsenhet som uppfyller fordringar enligt SS-EN 1047-1:2005 med dörrlås med separat nyckelserie över vilken säkerhetschefen har fullständig kontroll. Enheten behöver inte vara larmad. 2.1.7.5. Förvaringsenhet Behörig som kvitterat hemlig uppgift skall ha tillgång till en egen godkänd förvaringsenhet. Företagets säkerhetschef kan på begäran i undantagsfall bevilja avsteg (så kallad samförvaring). Beslut om samförvaring skall dokumenteras. Kopia på samförvaringsbeslutet skall finnas anslaget på förvaringsenhetens insida. Samförvaringsbeslut skall anslås även i förvaringsenhet med innerfack, där det skall framgå vem som har tillgång till vilket fack. Hemlig handling skall om möjligt förvaras åtskild från handling som ej omfattas av sekretess.

ange 5(25) Förvaringsenhet för hemlig uppgift skall hållas låst under tider, då det inte står under omedelbar uppsikt av den som har ansvaret för detsamma. Hemlig uppgift skall antingen förvaras inlåst i godkänd förvaringsenhet eller stå under omedelbar uppsikt. Reservnyckel/-kod skall förvaras i samma skyddsnivå som gäller för den hemliga uppgift som förvaras i det utrymme/den enhet som koden eller nyckeln avser. Företagets säkerhetschef beslutar om användande av reservnyckel/-kod till utrymme/förvaringsenhet där hemlig uppgift förvaras i det fall den som ansvarar för utrymme /förvaringsenhet inte deltar. Rutin för nödöppning av utrymme där hemlig uppgift förvaras och hanteras, och/eller förvaringsenhet, skall finnas och kan vara en del av säkerhetsskyddsinstruktionen. Utrymmet /förvaringsenheten får då endast öppnas i vittnes närvaro. Beslut om öppnande av utrymme /förvaringsenhet skall dokumenteras. Kopia på beslut delges den som ansvarar för aktuell utrymme /förvaringsenhet. Förvaringsenhet skall larmskyddas med seismiska detektorer i erforderlig omfattning. Som öppningsskydd skall magnetkontakt av förspänd modell användas. Varje förvaringsenhet skall utgöra eget larmområde och avlarmas separat. Förvaringsenhet som enbart används för förvaring av hemlig uppgift klassad HEMLIG/RESTRICTED behöver inte larmskyddas. Säkerhetsskåp tillverkade före år 1989, vilka får användas fram till 2019-12-31 (se nedan), skall ha motsvarande skyddsnivå som säkerhetsskåp godkända enligt SSF 3492. Med motsvarande skyddsnivå avses: Omslutande delar skall bestå av minst 4 mm stålplåt. Fogar skall ha minst samma motståndsförmåga mot inbrott som övriga omslutande delar. Låsenhetens regelverk skall ha kolvar i minst tre riktningar samt vara av s.k. avlastat typ, vilket innebär att låsets spärrelement inte får belastas när regelverkets kolvar belastas i öppningsriktningen. Låsmekanismen skall vara borrskyddad. En separat mekanism skall finnas som aktiveras vid inslagning eller sprängning mot låset och varvid mekanismen skall spärra regelverket i låst läge. Låsenhetens regelverk och bakkantsbeslagens ingrepp får inte vara mindre än 20 mm. Nyckel skall kunna tas ur låset endast när regeln är fullt utlåst och förreglerad. Säkerhetsskåp tillverkade enligt Standardiseringskommissionens tidigare gällande norm (SIS), Svensk Standard (SS) 3492 anses likvärdiga med Svenska Stöldskyddsföreningens föreskrift SSF 3492. Från och med 2020-01-01 godtar FMV inte säkerhetsskåp som inte är godkända enligt SS3492/SSF3492. Från samma datum godtas ej längre värdeförvaringsskåp som inte är godkända enligt SS-EN 1143-1. Godkännandet skall framgå av i skåpet anslaget provningsintyg, utfärdat av den oberoende part som certifierat skåpet. Ett rum kan användas för förvaring av hemlig uppgift i informationssäkerhetsklass HEMLIG/CONFIDENTIAL och HEMLIG/SECRET och får då ersätta användning av säkerhetsskåp enligt SSF3492. I detta fall skall rummets omslutningsyta uppfylla SS-EN 1143-1 grade 0, och placeras i yta som uppfyller skyddsklass 2 enligt SSF 200.

ange 6(25) Omslutningsyta: Skyddsklass 2, larmklass 2 med övervakad larmöverföring Larmskyddat säkerhetsskåp SSF 3492 eller Värdeskåp SS-EN 1143-1 grade 0 med larmskydd som för säkerhetsskåp eller förvaringsrum enligt SS-EN1143-1 grade 0 med larmskydd som för säkerhetsskåp Om rummet är en del av omslutningsytan, eller utgör en fristående byggnad, skall det uppfylla SS-EN 1143-1, lägst grade 4. Omslutningsyta, eller del av omslutningsyta: SS-EN 1143-1 grade IV med larmskydd som för säkerhetsskåp Rummet skall förses med öppningsskydd i form av förspända magnetkontakter och seismiska detektorer i erforderlig omfattning. Rummet skall utgöra ett eget larmområde. Förvaringsenhet bör vara försedd med kodlås, där säkerhetsorganisationen skall inneha en masterkod som skall vara skild från användarkoden. Nyckellås bör ej användas. Rutin skall finnas avseende byte av master- och användarkod. Koder skall minst bytas då användare inte längre har behov av tillträde till förvaringsenheten. 2.1.8. Inventering Innehavet av hemliga handlingar med informationssäkerhetsklass HEMLIG/RESTRICTED eller högre samt reservnycklar och anteckningar om koder som tilldelats behörig skall kontrolleras årligen av den anställde själv. Resultatet av denna egenkontroll skall dokumenteras. Se kapitel 1, Säkerhetsindicent, vid en befarad eller konstaterad förlust av hemlig uppgift. Inventering av den enskildes innehav av hemlig uppgift klassad KVALIFICERAT HEMLIG, HEMLIG/TOP SECRET, HEMLIG, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL och

ange 7(25) HEMLIG/RESTRICTED skall genomföras årligen. Inventeringen skall dokumenteras. Vid inventering skall bedömas om handlingar kan återlämnas eller förstöras. Huvudregeln skall vara att endast de handlingar som erfordras för uppdragets fullgörande skall behållas av Företaget. Inventering skall i övrigt genomföras då: nyckel saknas, befaras ha kopierats eller om kod kommit till obehörigs kännedom befattningshavare lämnat sitt förvaringsutrymme öppet under sådan tid och under sådana förhållanden att obehörig kan ha tagit del av hemlig handling byte sker av befattningshavare efter fullgjort uppdrag. Vad ovan sägs om hemlig uppgift avser även datamedia och materiel. Hemligt arbetsmaterial såsom koncept, datamedium, karbonpapper, tryckmedia eller liknande som använts vid framställning av hemlig handling skall förstöras när de inte längre behövs. Senast i samband med slutredovisningen av uppdraget skall Företaget, om annat inte överenskommits, återlämna av beställaren överlämnade hemliga handlingar. 2.1.9. Destruktion Varje företag med säkerhetsskyddsavtal i Nivå 1 skall ha en destruktör för dokument som uppfyller kraven enligt nedan. För mekanisk destruktion av datamedia kan underleverantör av destruktörstjänster anlitas, se punkt 2.9.8. Sådan underleverantör skall ha säkerhetsskyddsavtal i lägst Nivå 3 med FMV. 2.1.9.1. Krav på förstöringsmetoder för pappershandlingar FMV Säkerhetsskydd rekommenderar att dokumentförstörare används som destruktionsmetod. 2.1.9.2. Dokumentförstörare Vid tuggning av sekretessbelagda handlingar i dokumentförstörare får restprodukten av pappersfragment inte överstiga måtten 2x2 mm alternativt 1,2 x 15 mm. Dokumentförstörare avsedda för förstöring av sekretessbelagda handlingar skall märkas så att det klart framgår att den är godkänd för destruering av sekretessbelagda handlingar. 2.1.9.3. Bränning Bränning av sekretessbelagda handlingar skall göras så att informationen inte går att återskapa från restprodukten. Askan skall slås sönder samt blandas med annan aska från förbränningen av andra produkter. 2.1.9.4. Krav på förstöringsmetoder för digitala lagringsmedier Antalet typer av digitala lagringsmedier ökar hela tiden liksom behovet av lagringskapacitet.

ange 8(25) I takt med utvecklingen av nya lagringsmedier och den ökande lagringen uppstår också nya hot. Hoten består bland annat i att nya tekniker utvecklas för att återskapa information från raderade eller destruerade lagringsmedier. 2.1.9.5. Avgränsningar Innan någon av nedan angivna förstöringsmetoder tillämpas skall en detaljerad rutinbeskrivning tas fram i samråd med FMV Säkerhetsskydd. För destruktion av lagringsmedia innehållande hemliga uppgifter i informationssäkerhetsklass HEMLIG/TOP SECRET skall samråd med FMV Säkerhetsskydd inhämtas. 2.1.9.6. Definition av lagringsmedier Här avses med lagringsmedia någon av de nedan beskrivna teknikerna. I den mån andra lagringsmedier ska destrueras, skall FMV Säkerhetsskydd kontaktas. 2.1.9.7. Optiska lagringsmedier Med optiska lagringsmedier avses här alla förekommande typer, oavsett fysisk storlek och lagringskapacitet, där man använder ojämnheter i en reflekterande yta för datalagring och där laser används för att lagra och läsa data. Exempel på optiska lagringsmedier är CD (Compact Disc), DVD (Digital Versatile Disc), Blu-ray och HD DVD (High Density DVD eller High Definition DVD). Förstöringsmetoderna i detta direktiv gäller inte för holografiska minnen. 2.1.9.8. Hårddiskar Med hårddiskar avses här alla förekommande typer av hårddiskar där datalagring sker på roterande magnetiska skivor oavsett fysisk storlek och lagringskapacitet. Hårddiskar där datalagringen helt sker på elektroniska minnen (SSD eller solid state-diskar med flashminnen eller motsvarande) är undantagna. Sådana hårddiskar skall istället förstöras i enlighet med vad som anges i avsnitt för elektroniska lagringsmedier. 2.1.9.9. Mjuka magnetiska lagringsmedier Med mjuka magnetiska lagringsmedier avses här alla förekommande typer där lagring sker på roterande magnetiska skivor eller band. Exempel på mjuka magnetiska lagringsmedier är disketter, ZIP-diskar och backupband. 2.1.9.10. Elektroniska minnesmedier Med elektroniska minnen avses alla förekommande typer där datalagring sker i elektroniska integrerade kretsar (IC) av halvledarmaterial. Elektroniska minnen kan vara inkapslade så att de är hanterbara för användaren (till exempel USB-minnen eller aktiva kort). Andra exempel på elektroniska minnen är Compact Flash, Secure Digital och EPROM (Erasable Programmable Read-Only Memory). I den mån andra typer av elektroniska integrerade kretsar av halvledarmaterial, till exempel FPGA-kretsar (Field-Programmable Gate Array), innehåller hemliga uppgifter skall även de förstöras enligt angivna förstöringsalternativ. 2.1.9.11. Destruktörer Destruktör eller andra maskiner för förstöring av lagringsmedier skall märkas så att det klart framgår för vilka typer av lagringsmedier den ar avsedd för samt vilken högsta informationssäkerhetsklass som den är godkänd för. Syftet med märkningen är att förhindra

ange 9(25) att lagringsmedier förstörs i en maskin som inte är avsedd för den informationssäkerhetsklass som lagringsmediet ar placerat i. 2.1.9.12. Transport inför förstöring Om lagringsmedier som innehåller hemliga uppgifter behöver transporteras för att de skall kunna förstöras skall de transporteras i enlighet med vad som i denna manual föreskrivs för transport av hemlig handling. Vid transport för förstöring av hårddisk innehållande hemliga uppgifter placerade i informationssäkerhetsklass HEMLIG/SECRET eller HEMLIG/TOP SECRET skall lagringsmedierna skrivas över med ett godkänt verktyg för överskrivning eller avmagnetiseras med godkänd degausser. 1 2.1.9.13. Dokumentation vid förstöring Förstöring av lagringsmedier som innehåller hemliga uppgifter som är placerade i informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre skall dokumenteras. Efter förstöring skall det genom dokumentationen vara möjligt att utläsa vilka lagringsmedier som har förstörts. Om ett lagringsmedium som innehåller hemliga uppgifter som är placerade i informationssäkerhetsklass HEMLIG/TOP SECRET skall förstöras, skall samråd inhämtas från FMV Säkerhetsskydd. 2.1.9.14. Bevittnande av förstöring Om resurser utanför Företaget (kraftvärmeverk, destruktionsföretag med flera) används för förstöring av lagringsmedier som innehåller hemliga uppgifter som är placerade i informationssäkerhetsklass HEMLIG/SECRET eller lägre skall förstöringen bevittnas av Företagets personal Om ett lagringsmedium som innehåller hemliga uppgifter och som är placerade i informationssäkerhetsklass HEMLIG/TOP SECRET skall förstöras skall samråd inhämtas från FMV Säkerhetsskydd. 2.1.9.15. Underleverantör av destruktionstjänster Vid anlitande av underleverantör för destruktionstjänster skall Företaget anmälas till FMV Säkerhetsskydd för tecknande av säkerhetsskyddsavtal i lägst Nivå 3. AI kapitel 7 finns förslag på bilaga till kommersiellt avtal mellan Företag och underleverantör av destruktörstjänster. 1 Godkänd degausser, Intimus 8000

ange 10(25) 2.1.9.16. Krav på förstöringsmetoder 2.1.9.17. Optiska lagringsmedier Informationssäkerhetsklass HEMLIG/RESTRICTED Förstöringsalternativ O1) Tuggning med destruktör där storlek på fragment inte får överstiga 50 mm (area på fragment får inte överstiga 2500 mm 2 ). Varje fragment skall vara skilt från andra fragment. O2) Perforering eller prägling med verktyg där båda sidorna av det optiska lagringsmediet perforeras eller präglas med tandade rullar så att hål uppstår i det informationsbärande metallskiktet. Avstånd mellan hål får inte vara större än 1,2 mm. HEMLIG/CONFIDENTIAL HEMLIG/SECRET HEMLIG/TOP SECRET O3) Tuggning med destruktör där storlek på fragment inte får överstiga 4 mm (area på fragment får inte överstiga 12 mm 2 ). Varje fragment skall vara skilt från andra fragment. O4) Tuggning med destruktör där storlek på fragment inte får överstiga 1,2 mm (area på fragment får inte överstiga 1,4 mm 2 ). Varje fragment skall vara skilt från andra fragment. O5) Slipning med verktyg (till exempel slipmaskin) eller manuell slipning (till exempel sandpapper, fil eller rasp) så att det informationsbärande metallskiktet fragmenteras till damm. O6) Förbränning så att enbart aska återstår av det optiska lagringsmediet. 2.1.9.18. Hårddiskar Informationssäkerhetsklass HEMLIG/RESTRICTED HEMLIG/CONFIDENTIAL Förstöringsalternativ H1) Avmagnetisering med godkänd degausser. 2 H2) Tuggning med destruktör där skärbredden på knivar ej får överstiga 18 mm och med ett raster på högst 35 mm håldiameter. Villkor: Hårddiskar mindre än 2,5 tum skall 2 Godkänd degausser, Intimus 8000

ange 11(25) före tuggning avmagnetiseras med godkänd degausser eller överskrivas med godkänt överskrivningsverktyg. Villkor: Vid förstöringstillfället skall minst tre hårddiskar förstöras samtidigt. Anmärkning: Överskrivning med godkänt överskrivningsverktyg är tillräckligt för att uppgifter upp till och med informationssäkerhetsklass HEMLIG/CONFIDENTIAL inte kan läsas. HEMLIG/SECRET HEMLIG/TOP SECRET H3) Tuggning med destruktör där skärbredden på knivar ej får överstiga 18 mm och med ett raster på högst 20 mm håldiameter. Villkor: Före tuggning skall hårddisken avmagnetiseras med godkänd degausser eller överskrivas med godkänt överskrivningsverktyg. Avmagnetiseringen eller överskrivningen bör ske i den verksamhet där diskarna har använts. Villkor: Vid förstöringstillfället skall minst tre hårddiskar förstöras samtidigt. Det är lämpligt att blanda ut H/S- och H/TS-hårddiskar med hårddiskar som inte är placerade i H/S och H/TS. H4) Nedsmältning H5) Sandblästring där samtliga skivor monteras ur hårddisk och varje sida (det informationsbärande skiktet) på respektive sida sandblästras. H6) Slipning med verktyg (till exempel slipmaskin) där samtliga skivor monteras ur hårddisk och varje sida (det informationsbärande skiktet) på respektive skiva slipas.

ange 12(25) 2.1.9.19. Mjuka magnetiska lagringsmedier Informationssäkerhetsklass Förstöringsalternativ HEMLIG/RESTRICTED HEMLIG/CONFIDENTIAL M1) Avmagnetisering med godkänd degausser 3 M2) Tuggning med destruktör där skärbredden på knivar ej får överstiga 18 mm och med ett raster på högst 35 mm håldiameter. Villkor: vid förstöringstillfället skall flera mjuka magnetiska lagringsmedier förstöras samtidigt. Anmärkning: Överskrivning med godkänt överskrivningsverktyg är tillräckligt för att uppgifter upp till och med informationssäkerhetsklass HEMLIG/CONFIDENTIAL inte kan läsas. HEMLIG/SECRET HEMLIG/TOP SECRET M3) Tuggning i dokumentförstörare godkänd för förstöring av hemlig handling placerad i informationssäkerhetsklass HEMLIG/CONFIDENTAL eller högre. Vid tuggning monteras det mjuka magnetiska lagringsmediet ur och placeras mellan två papper som matas in i dokumentförstöraren. Villkor: Fragment efter tuggning av mjuka magnetiska lagringsmedier ska blandas med pappersfragment. Villkor: Vid förstöringstillfället skall flera mjuka magnetiska lagringsmedier förstöras samtidigt. Det är lämpligt att blanda ut H/Soch H/TS- lagringsmedier med lagringsmedier som inte är placerade i H/S och H/TS. M4) Tuggning med destruktör där skärbredden på knivar ej får överstiga 18 mm och med ett raster på högst 20 mm håldiameter. Villkor: Före tuggning ska mjuka magnetiska lagringsmedier avmagnetiseras med godkänd degausser 4 eller överskrivas med 3 Godkänd degausser, Intimus 8000 4 Godkänd degausser, Intimus 8000

ange 13(25) godkänt överskrivningsverktyg. Avmagnetiseringen eller överskrivningen bör ske i den verksamhet där diskarna har använts. M5) Förbränning så att det enbart återstår aska av det mjuka magnetiska lagringsmediet. 2.1.10. Transport av hemlig uppgift 2.1.10.1. Allmänt Hemlig uppgift skall distribueras på sådant sätt att obehörig hindras att ta del av innehållet. Detta gäller i hela befordringskedjan, hos avsändaren, under transporten och hos mottagaren. Vad som föreskrivs om befordran av hemlig uppgift i denna ISM avser rutinmässig befordran av enstaka hemliga handlingar eller mindre mängder hemlig materiel. För transport av större mängder hemliga handlingar eller hemlig materiel skall en speciell säkerhetsanalys genomföras enligt avsnitt 2.1.10.2 2.1.10.2. Transport inom/utom Sverige Vid transport av hemlig uppgift i större mängder skall ökade skyddsåtgärder jämfört med rutinmässig befordran av enstaka uppgifter vidtagas. Vid dessa tillfällen skall säkerhetschefen tillse att en särskild transportsäkerhetsanalys genomförs och dokumenteras. Därvid skall transportnivåer enligt nedan användas. Säkerhetschefen skall även tillse att en ansvarig transportledare utses för varje transport. För exempel på transportsäkerhetsanalys, se kapitel 7. Vid gränsöverskridande transport skall FMV Säkerhetsskydd kontaktas. Transportnivå 1 Transportnivå 2 Transportnivå 3 Transportnivå 1 innebär att: Transportutrymmet skall vara skyddat mot insyn. Transportnivå 2 innebär att transporten skall utföras med: a) tillträdesskyddad container eller annat transportutrymme av motsvarande standard, b) vapenlåda med larm (dock endast med särskild insats), c) transportutrymme som är låst och skyddat mot insyn. Vägtransport skall ha följebil. Transportnivå 3 innebär att transporten skall utföras med: a) tillträdesskyddad container som är utrustad med fjärröverfört larm eller ett annat transportutrymme av motsvarande standard som är utrustat med fjärröverfört larm, b) tillträdesskyddad container som åtföljs av en följebil eller ett annat transportutrymme av motsvarande standard som är utrustat med fjärröverfört larm, c) låst transportutrymme som är skyddat från insyn och åtföljt av en transportskyddsstyrka.

ange 14(25) Transportnivå 4 Transportnivå 4 innebär att: Transporten skall utföras med a) tillträdesskyddad container som är utrustad med fjärröverfört larm eller ett annat transportutrymme av motsvarande standard som är utrustat med fjärröverfört larm, b) tillträdesskyddad container som åtföljs av en transportskyddsstyrka eller ett annat transportutrymme av motsvarande standard som åtföljs av en transportskyddsstyrka, c) låst transportutrymme som är skyddat från insyn och som åtföljs av polis. Transport enligt 4 a) eller 4 b) som utförs på väg skall åtföljas av följebil. Då transportsäkerhetsanalysen genomförts skall en transportplan tas fram. Transportplanen kan bland annat innehålla (men ej begränsas till) följande uppgifter: Bakgrund Transportnivå Åtgärder Personal Kontaktuppgifter Bilagor För exempel på transportplan, se kapitel 7. 2.1.11. Medförande av hemlig uppgift utanför verksamhetsställets lokaler 2.1.11.1. Allmänt Hemlig uppgift, som medförs från Företaget, skall hållas under omedelbar uppsikt eller förvaras under samma skydd som vid Företaget. Vid medförande av hemlig uppgift klassificerad HEMLIG, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL eller HEMLIG/RESTRICTED och som skall tas med tillbaka till Företagets lokaler skall förteckning över medförda uppgifter upprättas och förvaras i eget förvaringsutrymme (värdeskåp/säkerhetsskåp). 2.1.11.2. Medförande INOM Sverige Nedanstående gäller både då hemlig uppgift skall medföras för att överlämnas och då handling skall medföras och återföras till verksamhetsstället. Medförande av hemlig uppgift klassificerad KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET utanför det egna verksamhetsställets lokaler får endast ske enligt FMV skriftliga beslut. Medförande av hemlig uppgift klassificerad HEMLIG, HEMLIG/SECRET, eller HEMLIG/CONFIDENTIAL utanför det egna verksamhetsställets lokaler får ske enligt säkerhetschefens, eller den denne utser, skriftliga beslut. Medförande av hemlig uppgift klassificerad HEMLIG/RESTRICTED kräver inte ett särskilt beslut.

ange 15(25) 2.1.11.3. Medförande UTOM Sverige Hemlig uppgift klassificerad KVALIFICERAT HEMLIG får inte föras ut ur landet. Medförande (s.k. hand carriage) och överlämnande av hemlig uppgift klassificerad HEMLIG, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL eller HEMLIG/RESTRICTED får ske efter att: 1. regeringstillstånd för utlämning till utländsk mottagare erhållits, 2. FMV beslut om överlämning av denna information har fattats, 3. FMV har beslutat att nyttja hand carriage, 4. FMV Säkerhetsskydd har överenskommit med mottagande lands säkerhetsskyddsmyndighet om nyttjande av hand carriage. Vid överlämning av hemlig uppgift klassificerad HEMLIG/SECRET enligt offentlighets- och sekretesslagen 15 kap 1 (utrikessekretess) skall, förutom ovan tillstånd, även skriftligt tillstånd avseende nyttjande av hand carriage, av Företaget, inhämtas från informationsägaren. 2.1.12. IT-säkerhetsskydd Företaget ansvarar för att alla former av IT-system innehållande hemliga uppgifter ackrediteras (godkännes för drift ur säkerhetsskyddssynpunkt) innan dessa tas i drift. En förutsättning för ackreditering är att samråd inhämtas från FMV. Företaget redovisar för FMV resultatet av lokal granskning (revision) där kravuppfyllnaden skriftligen bekräftas av Företaget. All bakomliggande dokumentation skall på begäran presenteras för FMV. Dokumentationen skall hållas uppdaterad för att spegla aktuellt läge samt historik över förändringar i ITsystemen. Innan hemliga uppgifter klassificerade KVALIFICERAT HEMLIG och/eller HEMLIG/TOP SECRET får hanteras i IT-system skall Företaget kontakta FMV Säkerhetsskydd. 2.1.12.1. IT-system innehållande hemlig uppgift i form av fristående dator Krav på IT-system innehållande hemlig uppgift i form av fristående dator redovisas i kapitel 5 IT-säkerhet. 2.1.12.2. IT-system innehållande hemlig uppgift i form av fleranvändarsystem Krav på IT-system innehållande hemlig uppgift i form av fleranvändarsystem redovisas i kapitel 5 IT-säkerhet. 2.1.13. Signalskydd Hemlig uppgift som förmedlas genom telekommunikation (t.ex. tal, text, data) skall vara krypterad. Endast av FMV godkänd signalskyddsmateriel får användas. För att få tillgång till godkänd signalskyddsmateriel skall Företaget ha tecknat separat avtal avseende signalskydd med FMV och utsett en signalskyddsansvarig. För att vara behörig att ta del av kryptonycklar och hantera signalskyddsmateriel krävs av/via FMV, eller genom lokalt ansvarig signalskyddschefs (motsv.) försorg, genomförd särskild signalskyddsutbildning.

ange 16(25) Om signalskyddsmateriel från utländsk part/myndighet avses att nyttjas på Företaget skall anmälan göras till FMV. Anmälan skall omfatta: Vilket land och myndighet som tillhandahåller signalskyddsmaterielen Typ av signalskyddsmateriel För vilken informationssäkerhetsklass signalskyddsmaterielen används För vilket projekt signalskyddsmaterielen avses nyttjas System som omfattas Adress, plats för placering Kontaktpersoner vid Företag och myndigheter Beskrivning av det administrativa ansvaret (fördelning av kryptonycklar, rutiner etc) Anmälan utgör ett underlag i FMV Säkerhetsskydd tillsyn avseende annat lands sekretess enligt ingånget bilateralt säkerhetsskyddsavtal. 2.1.14. Sekretessförlusthantering Se kap 1 Säkerhetsincident 2.2. Informationssäkerhetsklasser Inom FMV:s verksamhet används nedan angivna informationssäkerhetsklasser. 2.2.1. Inledning Om inte annat anges i denna manual avses med hemlig uppgift sådan information som omfattas av någon av informationssäkerhetsklasserna: KVALIFICERAT HEMLIG (KH) eller HEMLIG/TOP SECRET (H/TS) HEMLIG (H) eller HEMLIG/SECRET (H/S) HEMLIG/CONFIDENTIAL (H/C) HEMLIG/RESTRICTED (H/R)

ange 17(25) Informationssäkerhetsklassificeringen styr hur hemlig uppgift skall hanteras och/eller förvaras. Eftersom Offentlighets- och Sekretesslagen (2009:400) inte gäller för ett Företag kan och får inte Företaget utan anvisning från FMV klassificera en hemlig uppgift med direkt hänvisning till relevanta paragraf (-er) i Offentlighets- och sekretesslagen. Företaget skall istället hänvisa till att uppgiften omfattas av Försvarssekretess, Kommersiell sekretess, Bevaknings- och säkerhetsåtgärd, etc. 2.2.2. Hemligbeteckningar 2.2.2.1. KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET Hemliga uppgifter vars röjande kan medföra synnerligt men för totalförsvaret eller förhållandet till en annan stat eller en mellanfolklig organisation eller i annat fall för rikets säkerhet. KVALIFICERAT HEMLIG handling som har försetts med beteckningen TOP SECRET eller motsvarande av en utländsk myndighet eller mellanfolklig organisation. 2.2.2.2. HEMLIG Den beteckning som före införandet av nuvarande informationssäkerhetsklasser H/S, H/C respektive H/R åsattes handlingar eller materiel innehållande hemliga uppgifter vars röjande innebar mindre än synnerligt men för rikets säkerhet. Eftersom det inte framgår av en HEMLIG-stämplad handling vilken informationssäkerhetsklass den skall tillhöra, skall samtliga handlingar betecknade HEMLIG hanteras som HEMLIG/SECRET. Detta gäller tills FMV, i varje enskilt fall, beslutat annat. 2.2.2.3. HEMLIG/SECRET Hemliga uppgifter vars röjande kan medföra ett betydande men för totalförsvaret eller förhållandet till en annan stat eller en mellanfolklig organisation eller i annat fall för rikets säkerhet. Hemlig handling som har försetts med beteckningen HEMLIG/SECRET eller motsvarande av en utländsk myndighet eller mellanfolklig organisation. 2.2.2.4. HEMLIG/CONFIDENTIAL Hemliga uppgifter vars röjande kan medföra ett icke obetydligt men för totalförsvaret eller förhållandet till en annan stat eller en mellanfolklig organisation eller i annat fall för rikets säkerhet. Hemlig handling som har försetts med beteckningen HEMLIG/CONFIDENTIAL eller motsvarande av en utländsk myndighet eller mellanfolklig organisation. 2.2.2.5. HEMLIG/RESTRICTED Hemliga uppgifter vars röjande kan medföra ett ringa men för totalförsvaret eller förhållandet till en annan stat eller en mellanfolklig organisation eller i annat fall för rikets säkerhet. Hemlig handling som har försetts med beteckningen HEMLIG/RESTRICTED eller motsvarande av en utländsk myndighet eller mellanfolklig organisation. 2.2.2.6. Skyddsklassificerad (SK)

ange 18(25) Inom Försvarsmakten används klassificeringen SK för en uppgift som är sekretessbelagd enligt Offentlighets- och sekretesslagen (2009:400) men som inte rör rikets säkerhet och som inte är klassificerad som utrikessekretess. Denna klassificering används ej av FMV. 2.2.3. Informationsklassificering Underlag innehållande hemlig uppgift som tillställs Företaget från FMV har av FMV informationsklassificerats och placerats i informationssäkerhetsklass. Hemlig uppgift eller hemlig materiel som uppstår vid utförandet av uppdraget hos Företaget skall informationssäkerhetsklassificeras enligt av FMV delgivna säkerhetsskyddskrav. Det åligger beställaren att skriftligen meddela Företaget vad som i uppdraget utgör hemlig uppgift. Detta görs genom de anvisningar (Säkerhetsskyddskrav, Materielsäkerhetsspecifikation, Projektsäkerhetsinstruktion, etc) som skall erhållas från beställaren i anslutning till förfrågningsunderlag för eller upphandlingskontrakt av uppdraget. Det åligger Företaget att tillse att informationssäkerhetsklass åsätts de hemliga uppgifter som produceras i uppdraget. Vid tveksamhet om vad som är hemlig uppgift eller vilken informationssäkerhetsklass en hemlig uppgift tillhör skall Företaget klargöra detta med beställaren. I det fall Företaget delger FMV uppgift som omfattas av kommersiell sekretess, och uppgiften tillhör företaget, kan företaget hos FMV begära sekretessmarkering. Oavsett företagets egen informationssäkerhetsklass skall företagets begäran ange vilken informationssäkerhetsklass man önskar enligt FMV:s informationssäkerhetsklassificeringsmodell i punkt 3.1. ovan. 2.2.3.1. Sekretessmarkering Företaget skall inneha erforderliga verktyg för sekretessmarkering (hemligstämplar), såväl för elektronisk som manuell hantering. En handling som innehåller hemlig uppgift skall sekretessmarkeras på första sidan. Markeringen skall vara röd och innehålla beteckningen "HEMLIG", HEMLIG/SECRET, HEMLIG/CONFIDENTIAL, HEMLIG/RESTRICTED samt uppgift om att den avser sekretess. Hemligstämpel på en handling skall ha en rektangulär ram. Ramen skall vara enkel för HEMLIG handling och dubbel för KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET handling. Upprättande nation anges i stämpeln för HEMLIG handling (country of origin). Om handlingen är belagd med delgivningsrestriktioner (t.ex. får endast delges behöriga i Sverige och Tyskland) skall detta noteras omedelbart under stämpeln.

ange 19(25) Exempel: HEMLIG/CONFIDENTIAL Försvarssekretess 2016-01-01 Country of origin: Företaget AB HEMLIG/TOP SECRET Försvarssekretess av synnerlig betydelse för rikets säkerhet 2016-01-01 Företaget AB HEMLIG/RESTRICTED Kommersiell sekretess 2016-01-01 Country of origin: Företaget AB HEMLIG/SECRET Säkerhets- eller bevakningsåtgärd 2016-01-01 Företaget AB HEMLIG/SECRET Utrikessekretess 2016-01-01 Country of origin: Företaget AB Arbetshandling som är hemlig skall märkas med stämpel eller på annat sätt så att det klart framgår att den innehåller hemlig uppgift. Exempel, forts:

ange 20(25) H/S K H Exempel, forts: HEMLIG ARBETSHANDLING 2016-01-01 Företaget AB Varje sida i en tryckt eller datautskriven HEMLIG handling skall vara försedd med en sekretessmarkering. Markeringen kan ingå i dokumentmallen. Exempel: HEMLIG Se sidan 1 HEMLIG/ SECRET Se sidan 1 HEMLIG/ CONFIDENTIAL Se sidan 1 HEMLIG/ RESTRICTED Se sidan 1 2.2.4. Förändring av informationssäkerhetsklass Vid ändring av vad som utgör hemlig uppgift i ett uppdrag, skall beställaren skriftligen underrätta Företaget. Önskar Företaget ändra informationssäkerhetsklass på hemlig handling som erhållits från beställaren krävs tillstånd från FMV i varje enskilt fall. Företaget ställer skriftlig begäran till beställaren. 2.3. Tillträdesbegränsning 2.3.1. Inledning Krav som redovisas under denna rubrik avser endast ytor inom verksamhetsstället där hemlig uppgift hanteras eller förvaras. Hemlig uppgift får endast hanteras och förvaras i av FMV godkända lokaler. Tillträdesbegränsning skall hindra obehörigt tillträde till område, anläggning inom, eller del av Företaget där hemlig uppgift eller annat av betydelse för rikets säkerhet förvaras eller verksamhet av betydelse för rikets säkerhet bedrivs. 2.3.2. Mekaniskt skydd och inbrottslarm

ange 21(25) Företaget skall tillse att relevant mekaniskt skydd och inbrottslarm finns för de verksamhetsställen där hemlig uppgift hanteras. Normer som utarbetats av SSF, Svenska Stöldskyddsföreningen skall nyttjas för att dimensionera mekaniskt inbrottsskydd och inbrottslarm. Det skall beaktas att insatstiden vid ett utlöst larm skall vara anpassad till motståndskraften i det mekaniska inbrottsskyddet och möjligheten att få en tidig larmindikering. Vid planering av områdesskyddet är det lämpligt att tillämpa ett "inifrån ut" -tänkande. Detta innebär att utrymmet där hemlig handling förvaras och/eller hemlig verksamhet bedrivs ses som kärnan kring vilken lager efter lager av mekaniskt skydd och larm läggs med syfte att förhindra obehörig åtkomst av hemlig uppgift. Lokaler där arbete med hemlig uppgift med informationssäkerhetsklass HEMLIG, HEMLIG/SECRET och HEMLIG/CONFIDENTIAL förekommer eller som innehåller förvaringsenheter för hemlig uppgift eller förvaringsenheter för IT-system med hemlig uppgift enligt ovan, skall uppfylla fordringar enligt skyddsklass 2 (SSF 200) på det mekaniska inbrottsskyddet. Dessa lokaler skall även ha ett larmskydd som uppfyller fordringar enligt larmklass 2 (SSF 130), med tillägget att larmöverföringen till larmmottagningscentralen skall vara godkänd samt certifierad för larmklass 3 (SSF 130). Lokaler där arbete med hemlig uppgift med högst informationssäkerhetsklass HEMLIG/RESTRICTED förekommer skall uppfylla fordringar enligt skyddsklass 1 (SSF 200) på det mekaniska inbrottsskyddet och ha ett larmskydd som uppfyller fordringar enligt larmklass 1 (SSF 130). Det skall dock observeras att en stor mängd information klassificerad HEMLIG/RESTRICTED kan innebära att den totala mängden information klassas som HEMLIG/CONFIDENTIAL alt. HEMLIG/SECRET vilket innebär att lokalerna skall uppfylla fordringar enligt skyddsklass 2 (SSF 200) på det mekaniska inbrottsskyddet och ha ett larmskydd som uppfyller fordringar enligt larmklass 2 (SSF 130), med tillägget att larmöverföringen skall ha en övervakad förbindelse med larmmottagningscentralen och vara godkänd och certifierad för larmklass 3 (SSF 130). För utformning av skydd av hemlig uppgift klassade KVALIFICERAT HEMLIG och/eller HEMLIG/TOP SECRET skall Företaget kontakta FMV Säkerhetsskydd för vidare åtgärd. 2.3.3. Passerkontrollsystem/passersystem Tillträde till lokaler där arbete med hemlig uppgift av lägst informationssäkerhetsklass HEMLIG/RESTRICTED pågår skall registreras (loggas). Med passerkontrollsystem avses en metodik med vars hjälp man kontrollerar vem som bereder sig behörigt tillträde till yta där hemlig uppgift hanteras och förvaras. Med passersystem avses ett tekniskt system där nycklar helt eller delvis ersatts med automatiska system, vanligen kortläsare, kort och kod. Om passersystem finns installerat skall inpassering ske med kort och kod. Utpassering bör ske med kort. Om tryckknapp för utpassage monteras skall det säkerställas att den ej kan manipuleras eller manövreras från utsidan av den yta som skall skyddas.

ange 22(25) Nödutrymningsbehör skall vara försedda med plombering, till exempel täcklock eller sigill, för att otillbörlig användning skall försvåras. Logg för passerkontrollsystem/passersystem skall sparas i 10 år. 2.3.4. Besökshantering Besök i lokaler inom verksamhetsstället där förvaring eller arbete med hemlig uppgift av lägst informationssäkerhetsklass HEMLIG/CONFIDENTIAL förekommer skall dokumenteras. Besökare skall kunna styrka sin identitet med godkänd legitimation och skall under vistelsen synligt bära en besöksbricka (motsvarande) som kategoriserar personen som besökare. Vid besökets slut skall besöksbrickan återlämnas. Vid besök innefattande delgivning av hemlig uppgift skall besöksmottagaren säkerställa att besökaren är behörig (innehar erforderlig säkerhetsklarering, security clearance). Säkerhetsklarering/Security clearance för person anställd vid utländskt Företag/myndighet styrks genom Request for Visit (RFV). RFV insänds genom besökares försorg i enlighet med bi-/multilaterala avtal om inte annat överenskommits. I en besöksjournal skall noteras: besökarens namn pass- eller legitimationsnummer arbetsgivare (motsvarande) medborgarskap (med angivande av eventuellt dubbelt medborgarskap) syftet med besöket besöksmottagare tidpunkt för besökets början och slut. Besöksjournal, med i förekommande fall erforderlig säkerhetsklarering (security clearance), skall på anmodan redovisas för FMV Säkerhetsskydd och skall sparas i minst 10 år. Grundregeln är att besöksregistreringen skall utföras av det egna Företaget. Det skall beaktas att besöksregistreringen i detta hänseende endast berör lokalytor där hemlig uppgift hanteras alt. förvaras och ej övriga delar av Företagets lokaler. I det fall Företaget internt ej kan hantera besöksregistreringen, skall avtal tecknas mellan Företaget och den part/företag som utför uppdraget. Avtalet skall bl.a. reglera följande delar: Vilka besöksuppgifter som skall registreras för besökare till lokal i vilken hanteras alt. förvaras hemlig uppgift Hur besöksloggar skall förvaras och arkiveras i syfte att säkerhetschefen på Nivå 1 Företaget har åtkomst till dessa 2.3.5. Hantering av lås, koder och nycklar Vid inköp av förvaringsutrymme eller dörr till fast förvaringsutrymme skall nyckel levereras separat och direkt till Företagets säkerhetschef eller den denne utser. Innan nyckel lämnas till den som skall ansvara för förvaringsutrymmet skall denna förvaras av säkerhetschefen eller av denne utsedd person.

ange 23(25) Sänds lås eller nyckel per post skall försändelsen sändas med rekommenderad försändelse (Rek)/VÄRDE-post. Säkerhetschefen eller av denne utsedd behörig skall föra förteckning över nycklar och koder till: förvaringsutrymmen för hemlig handling eller hemlig materiel ytterdörrar till lokaler i vilka hemliga handlingar eller hemlig materiel förvaras. Av förteckningen skall framgå: vem som levererat lås och nycklar (koder) antal nycklar till varje förvaringsutrymme till vem och när nyckel (kod) utdelats eller återlämnats hur reservnyckel (kod) förvaras. Förteckning, nyckelkvittenser, reservnycklar och anteckningar om kod skall förvaras i för hemlig handling (hemlig handling klassad HEMLIG, HEMLIG/SECRET och HEMLIG/CONFIDENTIAL) föreskriven ordning. Nyckel skall kvitteras samt förvaras så att obehörig inte kan använda eller kopiera den. Vid överlämning av förvaringsenhet skall nycklar återlämnas, vilket skriftligt noteras i nyckelförteckning. Omställning av koder och om möjligt lås, skall ske innan annan person får förvara hemlig handling eller materiel i övertagen förvaringsenhet. Reservnyckel (kod) får av annan behörig än innehavaren till förvaringsenhet användas endast i vittnes närvaro enligt rutin för nödöppning, se rubrik 2.1.7.5 Förvaringsenhet. Om nyckel saknas skall anmälan omedelbart göras till säkerhetschefen. Om det kan befaras att nyckel kopierats eller att kod kommit till obehörigs kännedom eller att nyckel eller kod obehörigen utnyttjats skall låset eller koden utan dröjsmål ändras samt åtgärd enligt kapitel 1 Säkerhetsincident. 2.3.5.1. Låssystem Patenterat låssystem skall användas i och till ytor där hemlig uppgift hanteras eller förvaras. Endast behörig personal (säkerhetschef eller av denne utsedd person) skall kunna beställa nycklar som ger tillträde till dessa ytor. 2.3.6. Skydd mot audiovisuell avlyssning Den som är behörig till en hemlig uppgift ansvarar för att denna inte på något sätt kan komma obehörig till del. Företaget skall tillse att yta där hemlig uppgift förvaras och hanteras är försedd med ett effektivt skydd mot audiovisuell avlyssning. Arbete med hemlig uppgift bör inte ske i kontorslandskap, aktivitetsbaserat kontor eller liknande kontorslösningar, utan i enskilt rum. Om omständigheterna ändå så kräver skall berörda arbetsplatser förses med erforderligt audiovisuellt skydd. Samtliga personer som på något sätt skall vara verksamma i ytan skall vara behöriga till de hemliga uppgifter som där hanteras och förvaras.

ange 24(25) Glasytor skall förses med skydd mot insyn, till exempel draperier, persienner, gardiner eller etchfolie. Glasytan skall kunna täckas i sin helhet. Innerväggar skall gå ända upp till bjälklag/tak och dimensioneras för att minst innehålla ljudkrav R w = 35 db. Samma värde gäller för dörrparti till enskilt arbetsrum. Överhörning via ventilationsdon, kabelkanaler och liknande dimensioneras för minst 10 db högre än ljudkrav på vägg. Innerväggar och dörrpartier i sammanträdesrum där hemlig uppgift avhandlas skall dimensioneras för att innehålla ljudkrav R w = 44 db. Överhörning via ventilationsdon, kabelkanaler och liknande dimensioneras för minst 10 db högre än ljudkrav på vägg. Företaget skall på anmodan från FMV Säkerhetsskydd kunna uppvisa oberoende parts intyg från mätning av ljuddämpning för att bekräfta kravuppfyllnad. Externa apparater med inspelnings- eller kommunikationsförmåga, till exempel surfplatta, mobiltelefon eller dator, skall lämnas utanför sammanträdesrummet, alternativt förvaras i ljudisolerad låda eller aktiverad bruslåda. Företaget skall i övrigt vidtaga erforderliga åtgärder för att minska risken för obehörig avlyssning, till exempel genom att avlägsna teknisk utrustning som inte behövs och genom att ha kontroll över och runt om lokalen. Beakta risken för att avlyssningsutrustning kan maskeras som i kontorsmiljö vanligen förekommande utrustning. För krav på skydd mot röjande signaler, se Krav på säkerhetsfunktioner (KSF). Som tillägg till kraven i KSF gäller att särskilt RÖS-utrymme skall vara inspekterbart på alla sidor. 2.4. Redovisning av säkerhetsskyddsverksamhet Företag som skall hantera och förvara hemlig uppgift skall efter avslutad säkerhetsanalys redovisa sin samlade säkerhetsskyddsverksamhet i en säkerhetsskyddsredovisning. Mall för sådan redovisning, samt krav på dess innehåll och bilagor tillhandahålles av FMV Säkerhetsskydd. Säkerhetsskyddsredovisningen skall alltid hållas aktuell i syfte att kunna redovisa företagets säkerhetsskyddsverksamhet. 2.4.1. Inlämning av säkerhetsskyddsredovisning Säkerhetsskyddsredovisning skall tillställas FMV Säkerhetsskydd: innan företaget inleder ombyggnadsarbeten eller motsvarande ändringar i sin säkerhetsskyddsverksamhet då företaget avser ta ny yta i anspråk för hantering och förvaring av hemlig uppgift då företaget skall göra ändringar i av FMV tidigare godkänd yta för hantering och förvaring av hemlig uppgift efter avslutad kontroll av säkerhetsskydd Säkerhetsskyddsredovisning skall därutöver tillställas FMV Säkerhetsskydd på begäran.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss