Vad är en säkerhetsskyddsanalys?

En säkerhetsskyddsanalys syftar till att identifiera vilka delar av en verksamhet som behöver skyddas mot allvarliga hot och hur detta skydd bör utformas. Den är grunden för allt systematiskt säkerhetsskyddsarbete mot spioneri, sabotage, terrorism eller andra antagonistiska hot. Säkerhetsskyddslagen ställer krav på att alla verksamheter som hanterar information eller tillgångar som har betydelse för Sveriges säkerhet ska genomföra en säkerhetsanalys.

Säkerhetsskyddsanalysen ska besvara följande frågor:

• Vad ska skyddas?
• Mot vad ska det skyddas?
• Hur ska det skyddas?

Därför är den viktig

En väl genomförd säkerhetsskyddsanalys är ett kraftfullt redskap för att undvika felriktade eller otillräckliga åtgärder, samtidigt som den säkerställer efterlevnad av lagkrav. Om analysen är bristfällig riskerar verksamheten att:

• Lägga resurser på fel skyddsåtgärder
• Missa allvarliga sårbarheter
• Bli föremål för administrativa sanktionsavgifter
• Bidra till att skyddet för Sveriges säkerhet urholkas

Hur går en säkerhetsskyddsanalys till?

Analysen är en strukturerad process som genomförs i fem steg. Nedan följer en förenklad översikt:

1. Verksamhetsanalys

I det första steget fastställs huruvida verksamheten på något sätt är av betydelse för Sveriges säkerhet. Det kan till exempel handla om informationshantering, tekniska system, infrastruktur eller personal.

2. Identifiera och bedöma skyddsvärden

De skyddsvärden som är särskilt känsliga kartläggs och avgränsas. Detta kan omfatta dokument, system, byggnader eller processer. I analysen ska även konsekvensnivå vid en skada bedömas.

3. Hotanalys

Vilka typer av hot kan riktas mot verksamheten, till exempel från främmande makt eller organiserad brottslighet? Om säkerhetspolisen tilldelat en beskrivning av dimensionerande antagonistiska förmågor (DAF) till verksamheten ska denna också tas i beaktande. Begreppet dimensionerande antagonistiska förmågor används för att definiera den hotnivå som skyddsåtgärderna ska kunna motstå över tid även om det inte föreligger något konkret hot i nuläget.

4. Sårbarhetsanalys

I detta steg av säkerhetsskyddanalysen bedöms hur väl de befintliga skyddsåtgärderna faktiskt fungerar. Finns det brister? Går dessa att utnyttja?

5. Säkerhetsskyddsåtgärder

Utifrån säkerhetsanalysen föreslås åtgärder inom informationssäkerhet, fysisk säkerhet och personalsäkerhet. Målet är att skapa ett heltäckande säkerhetsskydd.

Efter analysen

Resultatet av analysen sammanställs i en säkerhetsskyddsplan som beskriver hur skyddet ska genomföras, följas upp och utvecklas. En säkerhetsskyddsanalys ska hållas aktuell i takt med förändringar i verksamheten eller omvärlden och uppdateras minst vart annat år.

Vanliga misstag – och hur du undviker dem

Många verksamheter gör misstaget att se analysen som en administrativ formalitet. Resultatet blir då ett dokument som inte är relevant kopplat till det syfte som den har. Ett annat vanligt misstag är att det saknas en röd tråd i analysen, varje del ska kunna kopplas till de övriga delarna i analysen. En skyddsåtgärd ska exempelvis vara kopplat till en angiven sårbarhet utifrån en hotbild som identifierats för ett specifikt skyddsvärde.

Saknas rätt kompetens kommer det leda till felaktiga bedömningar och ett otillräckligt säkerhetsskydd.

För att undvika dessa fallgropar är det viktigt att genomföra säkerhetsskyddsanalysen strukturerat, med rätt stöd och praktiska verktyg.

Utbilda din personal

För dig som är involverad i säkerhetsskyddsarbete rekommenderar vi SSF:s kurs i praktisk säkerhetsskyddsanalys. Utbildningen ger dig konkreta verktyg, praktiska övningar och expertstöd i att ta fram en robust och välgrundad analys – oavsett om du arbetar i en myndighet, kommun eller ett privat företag med säkerhetsskyddskrav. För dig som vill ha en grundläggande utbildning inom säkerhetsskydd rekommenderar vi vår Säkerhetsskyddsutbildning.

Vi har också företagsanpassade utbildningar där vi kan skräddarsy ett upplägg som passar din verksamhet.