Inleda samråd avseende driftsättning av informationssystem

Inför driftsättning eller väsentlig förändring av ett informationssystem som är avsett att behandla uppgifter i säkerhetsskyddsklass konfidentiell eller högre ska en verksamhetsutövare samråda med Säkerhetspolisen.

En verksamhetsutövare som avser att driftsätta eller i väsentliga avseenden genomföra förändringar av ett informationssystem som är avsett att behandla uppgifter i säkerhetsskyddsklass konfidentiell eller högre ska samråda med Säkerhetspolisen i enlighet med 3 kap 2 § Säkerhetsskyddsförordning (2021:955). Samrådsskyldigheten gäller även i fråga om andra informationssystem, om obehörig åtkomst bedöms kunna medföra skada för Sveriges säkerhet som inte är obetydlig, är i konsekvensnivå C eller högre.

Ett samråd inför driftsättning av informationssystem ska ske skriftligen med Säkerhetspolisen. Detta ska göras på denna blankett. Pdf, 193 kB. (Pdf, 193 kB)

I detta förfarande ska verksamhetsutövaren även sammanställa en särskild säkerhetsskyddsbedömning (SSB) som denne inkommer med till Säkerhetspolisen.

Hur ett samråd går till

Vid ett samråd behöver Säkerhetspolisen i den särskilda säkerhetsskyddsbedömningen kunna utläsa vilka krav på säkerhetsskyddsåtgärder i och kring informationssystemet som verksamhetsutövaren identifierat och på vilka sätt dessa krav uppfylls. Detta avser både egenidentifierade krav samt författningskrav.

För att kunna lämna ett kvalitativt yttrande behöver Säkerhetspolisen i den särskilda säkerhetsskyddsbedömningen kunna utläsa följande:

• Att alla tillämpliga säkerhetskrav som följer av lag, förordning och föreskrift omhändertagits.
• Att alla andra säkerhetskrav som verksamhetsutövaren tagit ställning till motiveras från säkerhetsskyddssynpunkt.
• Hur verksamhetsutövaren omhändertagit säkerhetskraven med säkerhetsskyddsåtgärder.
  
  

Viktigt är att verksamhetsutövaren har utfört de analyser och bedömningar som behövs samt beslutat om de åtgärder som anses lämpliga utifrån genomförda analyser.

Ett samråd avslutas alltid med ett skriftligt yttrande från Säkerhetspolisen till verksamhetsutövaren. En kopia på yttrandet skickas till verksamhetsutövarens tillsynsmyndighet. I yttrandet lämnas eventuella synpunkter kring de säkerhetsskyddsåtgärder verksamhetsutövaren inte har vidtagit eller där Säkerhetspolisen inte kan utläsa att de vidtagits och hur dessa förhåller sig till bestämmelserna om säkerhetsskydd i de olika författningarna.

Som stöd finns Vägledning i säkerhetsskydd – Informationssäkerhet Pdf, 5.3 MB. (Pdf, 5.3 MB)

Vägledningsmöte inför samråd avseende driftsättning av informationssystem

För att underlätta och förtydliga samrådsprocessen erbjuder Säkerhetspolisen ett vägledningsmöte inför samrådet.

Vid vägledningsmöte inför driftsättning av informationssystem går Säkerhetspolisen igenom samrådsförfarandet samt belyser några av de vanligt förekommande frågor verksamhetsutövare brukar lyfta. Det finns även utrymme för verksamhetsutövaren att ställa egna frågor både kring processen och eventuella frågor som framkommit i deras inledande arbete. Vägledningsmötet sker med fördel vid ett fysiskt möte i Säkerhetspolisens lokaler. Möjligheten finns även att genomföra vägledningsmötet via web/video, men då tillkommer vissa begränsningar kring vilka frågor och vilken information som kan beröras, exempelvis avseende sekretess och säkerhetsskyddsklassificerade uppgifter.