Hoppa till huvudinnehåll
Så gör du som arbetar på kommun en säkerhetsskyddsanalys

Så gör du som arbetar på kommun en säkerhetsskyddsanalys

09 Mar 2022

När man ska börja arbeta med säkerhetsskydd inom en kommun är första steget att genomföra en säkerhetsskyddsanalys. En sådan analys är grunden till allt säkerhetsskyddsarbete. Men hur gör man då en säkerhetsskyddsanalys? Processen är inte särskilt komplicerad, utan enklare än vad man tror. Vi förklarar i några enkla steg hur du ser till att ni skyddar det allra viktigaste! 

 

 

Informationssäkerhet på kommuner

I takt med digitaliseringen är fler enheter anslutna till Internet – bekvämt, men detta ökar också de möjliga attackvägarna in i IT-infrastrukturen. Samtidigt förfinas metoderna som används av dagens angripare mer och mer och attackerna idag är vanligtvis riktade och välplanerade.

Att undvika digital kommunikation är knappast en lösning i dagens värld, och för att inte skadas av attackerna måste du som arbetar på en kommun jobba med cybersäkerhet på ett konsekvent/systematiskt och strukturerat sätt. Det är det enda alternativet om dina skyddsvärda tillgångar ska vara skyddade över tid – och det enklaste sättet är att börja med en säkerhetsskyddsanalys.

 

Säkerhetsskyddsanalys

 

Nya säkerhetsskyddslagen ställer högre krav på säkerhetsskydd

Den 1 april 2019 infördes en ny säkerhetsskyddslag i Sverige. Den gäller för all verksamhet som är av betydelse för Sveriges säkerhet, till exempel olika former av kritisk infrastruktur. Lagen innebär nya högre krav gällande säkerhetsskyddsarbete och införs för att kunna minska våra sårbarheter. Lagen berör de som bedriver säkerhetskänslig verksamhet vilket kan omfatta bland annat kommuner och regioner. För att följa lagen ska aktörerna genomföra en säkerhetsskyddsanalys med syfte att utreda behov av säkerhetsskydd – vad som ska skyddas och på vilket sätt. I slutändan kan det röra sig om att skapa rutiner för att hantera uppgifter som omfattas av sekretess och som har betydelse för Sveriges säkerhet. Kommuner måste även i de allra flesta fall ha en säkerhetsskyddschef.

Tillsynsmyndigheter har även rätt att utfärda viten och sanktioner om en verksamhetsutövare inte har följt de skyldigheter som gäller. Det kan bland annat gälla om man inte kontrollerat sitt säkerhetsskydd eller om man inte kontrollerat att en samarbetspartner följer ett upprättat säkerhetsskyddsavtal. Följer man inte regelverket kan man få en sanktionsavgift på upp till 50 miljoner kronor.

 

Säkerhetsskyddslagen

 

Hur gör man en säkerhetsskyddsanalys?

När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. Det gör du genom att ställa dig följande frågor:

 

1. Vad är målet med verksamheten?

Gör en verksamhetsbeskrivning där det tydligt framgår vilka ansvar och processer som finns i verksamheten. Notera även eventuellt beroende av andra funktioner, både internt och externt.

 

2. Vilka är verksamhetens skyddsvärden?

Fundera över vad som är verksamhetens skyddsvärden, det vill säga vilka är de mest känsliga delarna, de delar som kan påverka Sveriges säkerhet om någon kommer över dem?

 

3. Vilka konsekvenser kan uppstå?

Gör en konsekvensanalys och bedöm var gränsen för acceptans går.

 

4. Vad är hotet?

Gör en tydlig beskrivning av hoten och motståndaren. Hur ser hotbilden ut? Vilken typ av angripare kan tänkas utgöra ett hot? Finns det några kända potentiella angripare och vad finns det för hotbild kopplad till dessa?

 

New call-to-action

 

5. Vilka sårbarheter finns?

Gör en sårbarhetsanalys som visar sårbarheter som är kopplade till verksamhetens skyddsvärden. Sårbarheterna kan användas av en potentiell angripare och därför är det viktigt att veta var de finns.

 

6. Vilka skyddsåtgärder ska väljas?

Identifierade sårbarheter ska slutligen knytas till lämpliga skyddsåtgärder. Åtgärderna finns inom tre olika områden: informationssäkerhet, fysisk säkerhet och personalsäkerhet. 

När du har genomfört din säkerhetsskyddsanalys ska en säkerhetsskyddsplan uppföras baserad på din analys. Säkerhetsskyddsplanen ska tydliggöra vilka säkerhetsskyddsåtgärder som måste tas. 

 

Vill du veta mer om hur man ska tänka kring säkerhetsskydd? Läs mer i vår know-how

Läs mer om cybersäkerhet inom offentlig sektor här