Till innehållet
Placeholders logotyp, till startsidan
Tipsa oss

Informationssäkerhet

Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörligen röjs, ändras, görs otillgängliga eller förstörs. Informationssäkerhet ska också förebygga annan skadlig inverkan på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Information som delas med obehöriga personer, som ändras av obehöriga eller som inte finns till hands när den behövs kan innebära stora negativa konsekvenser för en verksamhet. Informationssäkerhet handlar om att skydda informationen, oavsett var den finns, på ett sätt så att sådana konsekvenser inte uppstår.

Informationssäkerhet kan ses som en uppsättning administrativa och tekniska säkerhetsåtgärder för att bevara informationens konfidentialitet, riktighet och tillgänglighet:

  • Konfidentialitet betyder att informationen är tillgänglig endast för de personer som har behörighet ta del av den.
  • Riktighet betyder att innehållet i informationen ska vara korrekt och inte kunna förändras av obehöriga.
  • Tillgänglighet betyder att informationen ska vara nåbar när den behövs.

Skydd av säkerhetsskyddsklassificerade uppgifter

Informationssäkerhet ska enligt säkerhetsskyddslagen förebygga att säkerhetsskyddsklassificerade uppgifter röjs, ändras, görs otillgängliga eller förstörs av obehöriga.

Mer om säkerhetsskyddsklassificerade uppgifter hittar du under Säkerhetsskydd.

Skydd av information och informationssystem

Utöver att skydda säkerhetsskyddsklassificerade uppgifter ska informationssäkerhet också förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Det kan exempelvis röra skydd av informationssystem som styr viktiga samhällsfunktioner eller som hanterar sammanställningar av uppgifter där uppgifternas tillgänglighet eller riktighet är av betydelse för Sveriges säkerhet.

Vanliga frågor

Nedan följer några vanligt förekommande frågor med ett kortare svar. För ett mer uttömmande svar finns även referenser till aktuell vägledning.

En väsentlig förändring skulle exempelvis kunna vara när:

  • Ett befintligt informationssystem ska hantera uppgifter med en högre säkerhetsskyddsklassificering än tidigare.
  • Ett befintligt informationssystem ska integreras eller kommunicera med andra informationssystem eller av något annat skäl få ökad exponering.
  • Ett befintligt informationssystem ska användas i en annan säkerhetskänslig verksamhet.
  • Förändringen medför att hotbilden förändras. Läs mer i vägledning Informationssäkerhet. Pdf, 5.3 MB. (Pdf, 5.3 MB)

Med ackumulering avses en större samling av många liknande uppgifter, exempelvis ett register över anställda. Ackumulering av uppgifter leder i normalfallet inte till några konsekvenser för säkerhetsskyddsklassificeringen av uppgifterna eller uppgiftssamlingen. Läs mer i vägledning Informationssäkerhet. Pdf, 5.3 MB. (Pdf, 5.3 MB)

En samling av uppgifter kan i vissa fall leda till så kallad aggregering. Med aggregering avses att det genom att kombinera uppgifterna i samlingen går att härleda ny information, till exempel genom nyttjande av uteslutningsmetoden eller av så kallad motsatstolkning. Det innebär att en eller flera nya uppgifter skapas genom aggregeringen.

De nya uppgifter som går att härleda genom aggre­gering ska säkerhetsskyddsklassificeras, precis som alla andra uppgifter i verksamheten. Läs mer i vägledning Informationssäkerhet. Pdf, 5.3 MB. (Pdf, 5.3 MB)

Bestämmelsen i 3 kap. 3 § säkerhetsskyddsförordningen, om krav på godkännande från säkerhetsskyddssynpunkt inför driftsättning, gäller endast informationssystem som driftsatts efter den 1 april 2019.

Bestämmelsen i 3 kap. 1 § Säker­hetspolisens föreskrifter om säkerhetsskydd gäller alla informationssystem som hanterar säker­hetsskyddsklassificerade uppgifter, oberoende av när informationssystemet driftsattes.

Noteras vidare bör att bestämmelsen i 3 kap. 2 § säkerhetsskyddsförordningen, om krav på samråd inför väsentlig förändring, gäller alla säkerhetskänsliga informationssystem, oberoende av när de driftsatts. Läs mer i vägledning Informationssäkerhet. Pdf, 5.3 MB. (Pdf, 5.3 MB)

Det finns inga formella krav på vilka roller som ska vara delaktiga vid samrådet med Säkerhetspolisen inför driftsättning av ett informationssystem. Men för att få en bra dialog är det önskvärt att roller med bra insyn i säkerhetsskyddsanalys, den särskilda säkerhetskyddsbedömningen, IT samt säkerhetsskydd i stort är delaktiga.

Definitionen i 1 kap. 3 § säkerhetsskyddsförordningen lyder: ”Med informa­tionssystem avses ett system av sammansatt mjuk- och hårdvara som behandlar information.”

Detta innebär att även en fristående dator som inte kommunicerar med andra system ska betraktas som ett informationssystem. Läs mer i vägledning Informationssäkerhet. Pdf, 5.3 MB. (Pdf, 5.3 MB)

En fristående dator med av Försvarsmakten godkänt filkrypto såsom signalskyddsystem PGBI eller MGS/MGSI är ett informationssystem enligt säkerhetsskyddsförordningen. Detta innebär att även denna typ av informationssystem kan behöva föregås av ett samråd med säkerhetspolisen innan driftsättning.

Senast ändrad

 11 november 2024

Säkerhetsskydd

Dela denna artikel

Placeholderlogotyp

Säkerhetspolisen avvärjer hot mot Sveriges säkerhet och mot medborgarnas fri- och rättigheter. Vårt uppdrag är att säkra framtiden för demokratin.

Sociala medier

Följ Säkerhetspolisen i sociala medier. Vi finns på Twitter, Instagram och LinkedIn

Tipsa oss

Har du sett eller hört något som Säkerhetspolisen kan ha nytta av i arbetet för att skydda Sverige?

Till tipssidan

Telefon: 010-568 70 00

Säkerhetspolisen

Box 12312

102 28 Stockholm

Tfn: 010-568 70 00

Om kakor på webbplatsen

På denna webbplats används endast nödvändiga kakor för att webbplatsen ska fungera. Genom att klicka på "Jag förstår" sätts också en kaka för att fortsätta hålla meddelandet stängt.

Läs mer om kakor