Verksamheter som omfattas av lagkraven
Kravet på utbildning i säkerhetskydd uppstår så snart en verksamhet klassas som säkerhetskänslig eller när en underleverantör hanterar uppdrag av sådan natur. Detta gäller alla berörda, oavsett om det är statliga myndigheter, kommuner eller privata bolag som tecknat säkerhetsskyddsavtal (SUA). Det räcker inte att läsa lagen; verksamheter behöver kunna genomföra en säkerhetsskyddsanalys som är både spårbar och testbar.
Krav och mål
Utbildningen riktar in sig på att ge er bevisbar kompetens. Den går igenom hur specifika sektorer, som energi eller offentlig förvaltning, har egna normer för behörigheter och incidentrapportering. Målet är att ni ska kunna visa att era åtgärder är proportionerliga och baserade på en korrekt hotbild. Säkerhetspolisen och andra tillsynsmyndigheter granskar idag efterlevnaden hårt, och brister i kompetens kan leda till förelägganden samt dryga sanktionsavgifter som kan uppgå till 50 miljoner kronor. Det är ofta ett krav att ha läst igenom Säkerhetspolisens vägledningar kring säkerhetsskydd innan man går utbildningen. Säkerhetsskyddslagen (2018:585) ligger till grund för arbetet med exempelvis säkerhetsprövningsintervjuer och en kurs hjälper er att tolka och omvandla lagen till praktiska åtgärder. Utbildningen går igenom de tre huvudområdena för ett komplett skydd:
- Informationssäkerhet: Att skydda säkerhetsskyddsklassificerad uppgift från obehörig åtkomst och hantera de fyra säkerhetsskyddsklasserna (Kvalificerat hemlig, Hemlig, Konfidentiell, Begränsat hemlig).
- Fysisk säkerhet: Att skydda anläggningar och system mot intrång, till exempel genom rutiner för inpassering.
- Personalsäkerhet: Att genomföra rättvisa registerkontroller och säkerhetsprövningsintervjuer utan att kränka integriteten.
Utbildningens innehåll
Grunden för allt arbete inom säkerhetsskydd grundas på Säkerhetsskyddslagen (2018:585), vilken en utbildning inom området också tar avstamp ifrån och hjälper företag och organisationer att tolka och/eller omvandla till praktiska åtgärder.
Säkerhetsskyddsanalys som arbetsverktyg
Säkerhetsskyddsanalysen går ut på att metodiskt identifiera vad som ska skyddas: information, fysiska lokaler eller personal. Man beskriver konsekvenserna av ett angrepp på konfidentialitet eller tillgänglighet genom att bedöma hotaktörer och deras metoder kan man beskriva konsekvenserna av ett angrepp på konfidentialitet eller tillgänglighet.
Analysen är ett levande dokument där det finns en direkt koppling mellan risk och åtgärd. Utbildningar fokuserar vanligtvis på att analysen ska vara versionshanterad och fungera som grund för era styrdokument och utbildningsplaner. Det är först när analysen är testbar som den ger ett verkligt skydd.
Praktisk personalsäkerhet och fysiskt skydd
Säkerhetsskydd är aldrig starkare än den svagaste länken. En utbildning inom säkerhetsskydd går igenom hur ni genomför rättvisa och proportionerliga registerkontroller av personal utan att kränka integriteten, inklusive rutiner för introduktion, omplacering och avslut av anställningar.
När det gäller det fysiska skyddet får ni kunskap kring hur ni testar era system. Det handlar om allt från lås och larm till hur ni hanterar besökare och entreprenörer. Utbildningen lär er att dokumentera avvikelser systematiskt så att svagheter åtgärdas innan de kan utnyttjas.
Dokumentation och mätbara resultat
Allt säkerhetsarbete måste kunna bevisas, till exempel med mallar för register över system, lokaler och roller. För att arbetet inte ska stanna av bör ni ta fram mätpunkter, som till exempel:
- Andel genomförda kontroller per kvartal.
- Status för utbildning inom olika roller.
- Ledtid för att stänga identifierade avvikelser.
- Täckningsgrad för loggning och testade larmvägar.
Val av utbildningsform och förkunskaper
Det finns både öppna och företagsanpassade säkerhetsutbildningar. En öppen kurs ger värdefulla perspektiv från andra branscher, medan en anpassad utbildning ger er möjlighet att diskutera era specifika system och sekretessbelagda detaljer under säkra former. Många utbildningar är cirka tre dagar långa, vilket ger en stabil grund. Även om förkunskaper inom riskhantering underlättar är utbildningen ofta utformad för att vara tillgänglig för alla med ett ansvar inom området.
Exempel på upplägg
Dag 1: Grunden och hotbilden
Utbildningen inleds med en överblick på begrepp och lagkrav. Ni får påbörja ett eget case där ni definierar skyddsvärden och gör initiala antaganden. Ni får ta del av konkreta exempel på vanliga fallgropar som organisationer ofta hamnar i under det första skedet.
Dag 2: Tillämpning och skyddsmekanismer
Fördjupning i informationssäkerhet, personalsäkerhet och fysiskt skydd. Här kartlägger ni processer och väljer åtgärder för IT-miljöer, inpassering och leverantörskontroll. Övningar för beslutsfattande och loggning för att etablera spårbarhet.
Dag 3: Styrning och långsiktig uppföljning
Arbetet inriktas på att färdigställa utkastet till säkerhetsskyddsanalysen och förbereda presentationer för ledningen. Ni går igenom hur ni kan etablera mätpunkter, genomföra revisioner och dra lärdomar av incidenter utan att det bromsar verksamhetens flöde.
Roller och ledningens ansvar
En av de vanligaste orsakerna till att säkerhetsarbetet brister är otydliga mandat. Man lägger stor vikt vid att definiera rollerna för ledning, säkerhetsskyddschef och HR. Ledningen äger risken och måste fastställa organisationens ambitionsnivå och resurser. Utan en tydlig styrning från toppen blir säkerhetsarbetet ofta en pappersprodukt utan förankring i vardagen.
Säkerhetsskyddschefen har den operativa rollen att driva analysen och kontrollera leverantörer. En utbildning i säkerhetsskydd går igenom hur denna roll bäst samordnar olika verksamhetsdelar och rapporterar avvikelser. Genom att förstå gränssnittet mellan dessa roller kan er organisation minska risken för farliga glapp i skyddet genom att förstå gränssnittet mellan dessa roller. Utbildningen vänder sig därmed i första hand till blivande eller nuvarande säkerhetsskyddschefer, säkerhetssamordnare, företagsledning och HR-personal.
