Så gör du en bra säkerhetsskyddsanalys

Publicerad: november 20, 2025
A businesswoman is working with a tablet

Stöldskyddsföreningen (SSF) vill bidra till att fler organisationer arbetar strukturerat och lagenligt med säkerhetsskydd, så vi har tagit fram en guide för hur du gör en bra säkerhetsskyddsanalys. En väl genomförd analys är grunden för allt säkerhetsskyddsarbete. Guiden vänder sig till verksamheter som inte har Försvarsmakten som tillsynsmyndighet. För de som står under Försvarsmaktens tillsyn tillämpas en något annorlunda metod.

Vad är en säkerhetsskyddsanalys?

En säkerhetsskyddsanalys innebär att en verksamhet identifierar sina skyddsvärden, kartlägger hot och sårbarheter samt beslutar vilka åtgärder som krävs för att säkerställa trygghet och efterlevnad enligt Säkerhetsskyddslagen. En säkerhetsskyddsanalys ger ett tydligt beslutsunderlag för vilka skyddsåtgärder som behövs och hur de ska prioriteras genom att besvara tre frågor.

1. Vad ska skyddas?

Exempel på skyddsvärden kan vara ritningar över kritisk infrastruktur, kommunikationssystem, IT-nätverk eller information som rör totalförsvaret.

  • Vilka delar av vår verksamhet är absolut nödvändiga för att den ska fungera?
  • Vad skulle hända om denna information, anläggning eller personalresurs röjs eller skadas?
  • Vilka tillgångar är så kritiska att deras förlust skulle få en negativ konsekvens för Sveriges säkerhet?
  • Har vi tillgångar som indirekt kan användas för att skada andra skyddsvärda verksamheter?

2. Mot vad ska det skyddas?

När de skyddsvärda tillgångarna är identifierade ska verksamheten analysera vilka hot de står inför. Exempel på hot är spioneri, sabotage, terrorism, cyberangrepp, externa intrångsförsök eller andra handlingar som kan påverka Sveriges säkerhet.

  • Vilka aktörer kan tänkas ha intresse av vår information eller verksamhet – och varför?
  • Vilka metoder eller angreppssätt kan de använda mot oss?
  • Har vi tidigare utsatts för incidenter eller försök till påverkan?
  • Finns det samhällsförändringar eller geopolitiska händelser som kan påverka vår hotbild?

En aktuell och realistisk hotbedömning kräver ofta att man tar del av underlag från exempelvis Säkerhetspolisen, MUST eller FRA, som löpande följer omvärldsförändringar och den rådande hotbilden mot Sverige.

3. Hur ska det skyddas? 

Säkerhetsskyddsanalysen ska mynna ut i vilka skyddsåtgärder som krävs för att minska riskerna och säkerställa skyddet av verksamhetens skyddsvärden. Här ska verksamheten ta fram konkreta åtgärder inom tre områden:

  • Informationssäkerhet – skydd av data, system och kommunikation.
  • Fysisk säkerhet – tillträdeskontroll, övervakning och skydd av anläggningar.
  • Personalsäkerhet – kontroll, utbildning och säkerhetsprövning av personal.

Åtgärderna ska vara proportionerliga, spårbara och integrerade i verksamhetens styrning och rutiner enligt Säkerhetsskyddslagen.

  • Vilka skyddsåtgärder ger störst effekt?
  • Är våra nuvarande tekniska och organisatoriska skydd tillräckliga?
  • Hur säkerställer vi att personalen har rätt kompetens och förståelse för säkerhetsskyddet?
  • Hur hanterar vi våra beroenden?

Förberedelser

Genom att skapa tydliga ramar från början blir arbetet mer effektivt och resultatet mer tillförlitligt. Med rätt förberedelser kan verksamheten genomföra en säkerhetsskyddsanalys som håller hög kvalitet och uppfyller lagkraven

Så förbereder du arbetet på bästa sätt:

  • Utse en ansvarig person som håller ihop processen och ser till att arbetet dokumenteras.
  • Sätt samman ett tvärfunktionellt team med representanter från ledning, IT, HR, juridik och säkerhet.
  • Definiera syfte och omfattning – vad ska omfattas av analysen och vilka delar av verksamheten berörs?
  • Samla relevant information som befintliga riskanalyser, rutiner, policyer och systemkartor.
  • Avsätt tillräcklig tid och resurser för att kunna arbeta noggrant och förankra analysens slutsatser i organisationen.

Analysmetoden steg-för-steg

En säkerhetsskyddsanalys genomförs i flera steg som tillsammans skapar en helhetsbild av verksamhetens behov och sårbarheter. Nedan följer de fem huvudstegen som Stöldskyddsföreningen rekommenderar, baserat på Säkerhetspolisens vägledning

1. Beskriv verksamheten 

Börja med att skapa en tydlig bild av verksamhetens art, omfattning och betydelse. Beskriv vilka funktioner som är viktiga, vilka processer som rör eventuellt säkerhetskänslig verksamhet och resurser som används. Beskrivningen ger analysen sitt ramverk och gör det lättare att se samband mellan resurser, processer och hot.

Exempel på frågor att ställa i steg 1

  • Vilken typ av verksamhet bedriver vi?
  • Vilken roll har verksamheten för Sveriges säkerhet?
  • Vilka anläggningar, system eller uppgifter är kritiska?
  • Vilka delar av organisationen hanterar skyddsvärd information?
  • Vilka beroenden finns till externa aktörer eller system?

2. Identifiera och bedöm skyddsvärde 

När verksamheten är kartlagd bedöms vilka tillgångar som har skyddsvärde – alltså de som är av betydelse för Sveriges säkerhet. Bedömningen görs utifrån hur allvarliga konsekvenserna skulle bli om information röjs, ändras eller förstörs.

Exempel på frågor att ställa i steg 2

  • Vilka tillgångar är avgörande för verksamhetens fortlevnad?
  • Vad skulle hända om de förstörs, manipuleras eller röjs?
  • Vilka beroenden finns mellan olika skyddsvärden?

3. Identifiera säkerhetshot 

Detta steg handlar om att identifiera och värdera hotbilder. Hot kan vara externa (t.ex. cyberangrepp, sabotage, stöld) eller interna (t.ex. insiderbrott, misstag, illojala handlingar). Genom att förstå hotaktörerna, deras motiv och tillvägagångssätt får ni en bättre bild av vilka säkerhetsskyddsåtgärder verksamheten behöver.

Exempel på frågor att ställa i steg 3

  • Vilka hotaktörer är mest relevanta för vår verksamhet?
  • Vilka angreppsmetoder kan de tänkas använda?
  • Hur har liknande verksamheter drabbats tidigare?
  • Vilken skada skulle hoten kunna orsaka?

4. Bedöm sårbarheter

Bedöm hur mottaglig verksamheten kan vara för de identifierade hoten. Sårbarheter uppstår när det finns brister i teknik, processer, personal eller organisation. Det är viktigt att identifiera var skyddet är svagt och varför, då sårbarheter ofta är en kombination av flera faktorer, som bristande rutiner, otillräcklig utbildning eller föråldrad teknik.

Exempel på frågor att ställa i steg 4

  • Vilka säkerhetsbrister existerar i våra system eller rutiner?
  • Har personalen tillräcklig kunskap och behörighet?
  • Hur snabbt kan vi upptäcka och hantera en incident?

5. Vidta åtgärder för säkerhetsskydd

När hot och sårbarheter är identifierade ska verksamheten besluta om åtgärder som behövs för ett heltäckande säkerhetsskydd. Dessa kan vara tekniska (brandväggar, kryptering), administrativa (policyer, rutiner), eller beteendebaserade (utbildning, säkerhetskultur). Åtgärderna ska prioriteras utifrån konsekvensnivå och skyddsvärde – det mest kritiska skyddas först.

Exempel på frågor att ställa i steg 5

  • Vilka åtgärder krävs för att hantera hoten och åtgärda sårbarheterna?
  • Hur integreras de i det dagliga arbetet?
  • Hur prioriterar vi åtgärder utifrån skyddsvärde och hotbild?
  • Vem ansvarar för implementering, uppföljning och dokumentation?

 Gör en säkerhetsskyddsplan

Resultatet av analysen ska dokumenteras i en säkerhetsskyddsplan. Den fungerar som styrdokument för det löpande säkerhetsarbetet och ska beskriva mål, ansvar, resurser, rutiner och uppföljning. Planen ska vara ett levande dokument som revideras regelbundet och vid förändringar i verksamheten eller hotbilden.

Exempel på frågor att ställa när man gör en säkerhetsskyddsplan

  • Hur ofta ska planen uppdateras?
  • Vem ansvarar för uppföljning och rapportering?
  • Hur sprids informationen till berörd personal?

Vanliga frågor

Hur lång tid tar en säkerhetsskyddsanalys att genomföra?

En mindre organisation kan behöva några veckor, medan större och mer komplex verksamhet kan ta flera månader. Tidsåtgången varierar beroende på verksamhetens omfattning, komplexitet och tillgång till dokumentation. 

Vem bör delta i arbetet?

Det är lämpligt att en tvärfunktionell grupp deltar för att säkra bredd och förankring, gärna med representanter från ledning, IT, HR, juridik och säkerhet.

Hur ofta måste man uppdatera säkerhetsskyddsanalysen?

Enligt Säkerhetsskyddsförordning 2 kap. 1 § ska analysen uppdateras vid behov och åtminstone vartannat år.

Vad händer om en verksamhet inte genomför analysen?

Verksamheter som inte utarbetar eller håller sin säkerhetsskyddsanalys uppdaterad och omfattas av Säkerhetsskyddslagen riskerar föreläggande om vite eller sanktionsavgifter. Dessutom riskeras verksamhetens säkerhet då viktiga skyddsåtgärder troligtvis saknas.

Behöver vi använda extern konsult för säkerhetsskyddsanalysen?

Många verksamheter väljer att anlita extern expertis för att säkerställa objektivitet, kvalitet och dokumentation, men det är inget krav.

Utbildning i säkerhetsskydd

Vår utbildning i praktisk säkerhetsskyddsanalys ger dig konkreta verktyg, praktiska övningar och stöd kring hur du tar fram en robust och välgrundad analys, anpassat efter din verksamhet och säkerhetsskyddskrav. För dig som vill ha en grundläggande utbildning inom säkerhetsskydd rekommenderar vi vår Säkerhetsskyddsutbildning.

Vi erbjuder företagsanpassade utbildningar där vi kan skräddarsy ett upplägg som passar din verksamhet.