Rutin vid upprättande av säkerhetsskyddsavtal i nivå 1
Rutin vid upprättande av säkerhetsskyddsavtal i nivå 1
Innehåll
Rutin vid upprättande av säkerhetsskyddsavtal i nivå 1 1
1. Allmänt 2
2. Regelverk och avtal 2
3. Underlag på FMV:s webbplats 2
4. Omfattning 2
5. Genomförande och tidsåtgång 3
6. Steg 1 Säkerhetsskyddskrav 3
7. Steg 2 Tecknande av säkerhetsskyddsavtal 3
8. Steg 3 Säkerhetsprövning av ledningen 4
9. Steg 4 Företagets säkerhetsskyddsarbete inleds 4
9.1. Utbildning 4
9.2. Säkerhetsskyddsplanering 4
9.3. Säkerhetsskyddsredovisning 4
9.4. Granskning och uppdatering 5
9.5. Förstagångsbesök/kontroll av säkerhetsskydd 5
10. Steg 5 FMV:s slutgranskning 5
11. Steg 6 Företaget intygar kravuppfyllnad 5
12. Steg 7 FMV godkänner verksamhetsstället 5
13. Steg 8 Personalsäkerhet (säkerhetsprövning av personal) 5
14. Steg 9 Klart att inleda uppdraget 7
15. Vid behov av underleverantör 7
15.1 Om underleverantör saknar säkerhetsskyddsavtal 7
15.2 Om underleverantör har säkerhetsskyddsavtal sedan tidigare 7
16. Råd och stöd 7
1. Allmänt
Denna beskrivning syftar till att ge en allmän orientering i vad som krävs, såväl från företaget, eventuella underleverantörer samt FMV, för att ett säkerhetsskyddsavtal ska kunna komma till stånd. Säkerhetsskyddsavtalet är en förutsättning för att få delta i säkerhetskänslig verksamhet och för att få hantera och förvara säkerhetsskyddsklassificerad uppgift i ett företags egna lokaler. Vad i verksamheten som utgör säkerhetsskyddsklassificerad uppgift, eller vad i uppdraget som utgör säkerhetskänslig verksamhet, ska klaras ut av beställaren. Om det råder tveksamheter kring vad som i uppdraget utgör säkerhetsskyddsklassificerad uppgift eller säkerhetskänslig verksamhet måste detta klargöras mellan beställaren och företaget.
FMV förhandlar inte lydelsen i säkerhetsskyddsavtalet.
2. Regelverk och avtal
För att kunna teckna ett säkerhetsskyddsavtal krävs ingående kunskap om FMV:s styrande regelverk, Industrisäkerhetsskyddsmanualen (ISM). Den finns tillgänglig på FMV:s webbplats. Ett företag som ska teckna säkerhetsskyddsavtal måste därför, så tidigt som möjligt i processen, sätta sig in i regelverket och identifiera de krav som ställs. Företaget måste också vara väl insatt i säkerhetsskyddsavtalets lydelse. Kopia av mall för säkerhetsskyddsavtalet finns på FMV:s webbplats. Det är viktigt att företaget avsätter tillräckligt med tid för att rätt åtgärder ska kunna vidtas, vilket inkluderar studier av regelverket och styrande dokument. Syftet är att kunna implementera ISM i företagets verksamhet, vilket är en förutsättning för att kunna teckna säkerhetsskyddsavtal.
3. Underlag på FMV:s webbplats
Samtliga rutiner, blanketter och mallar hämtas på xxx.xxx.xx/xxxxxxxx, under rubriken ”Regelverk och dokumentation, m.m.”
4. Omfattning
Säkerhetsskyddsavtal upprättas mellan FMV och företaget (juridisk person). Säkerhetsskyddsavtalet initieras genom att säkerhetsskyddskrav, ett registreringsbevis från Bolagsverket (får ej vara äldre än 3 månader) samt skriftligt samtycke till registerkontroll för den/de personer i ledningen som ska placeras i säkerhetsklassad befattning, inkommer till FMV Säkerhetsskydd från en beställare. Om företaget inte är registrerat hos Bolagsverket accepteras utdrag ur Skatteverkets register.
Beställaren kan vara FMV, en utländsk myndighet/företag, eller ett av FMV anlitat företag. Säkerhetsskyddskraven innehåller även uppgifter om vilket företag som ska anlitas, vilket projekt (motsvarande) beställningen gäller och vilken tidsperiod uppdraget kommer att pågå.
Utifrån dessa uppgifter förbereder FMV Säkerhetsskydd upprättande av säkerhetsskyddsavtal. När alla underlag inkommit till FMV Säkerhetsskydd och avtalet är underskrivet av företaget sker, genom FMV:s försorg, säkerhetsprövning av företagets ledning.
5. Genomförande och tidsåtgång
Här beskrivs de moment som ska genomföras i kronologisk ordning. Tidsåtgången till allt arbete är klart och avtalet är tecknat beror främst på hur mycket resurser som företaget tillsätter. En fullständig process tar i genomsnitt upp till 12-18 månader att fullgöra från mottagandet av denna instruktion. Observera att det är företagets ansvar att driva processen.
6. Steg 1 Säkerhetsskyddskrav
Ett säkerhetsskyddsavtal initieras genom att beställaren tillställer FMV Säkerhetsskydd underlag enligt nedan. Beställaren kan vara såväl FMV, en utländsk myndighet/företag, som ett av FMV anlitat företag.
1. Säkerhetsskyddskraven sammanfattas på blanketten säkerhetsskyddskrav (tillgänglig via FMV:s webbplats, xxxx://xxx.xxx.xx/xxxxxxxx) och innehåller bland uppgifter om vilket företag som ska anlitas, vilket projekt/uppdrag beställningen gäller, aktuell säkerhetsskyddsklass samt vilken tidsperiod som arbetet kommer att pågå. Säkerhetsskyddskraven beskriver vad i uppdraget som utgör säkerhetskänslig verksamhet och/eller vad som utgör säkerhetsskyddsklassificerad uppgift. Beställaren ansvarar för att redan i förfrågningsunderlaget tillhandahålla ett utkast till säkerhetsskyddskrav. I säkerhetsskyddskraven ska även eventuella krav på utökat skydd (skyddsåtgärder utöver grundkrav i Industrisäkerhetsskyddsmanualen, ISM) eller andra kompletterande direktiv anges. Om tveksamhet råder avseende vad i verksamheten som är säkerhetsskyddsklassificerad uppgift ska detta klargöras mellan beställaren och företaget.
2. Som bilaga till säkerhetsskyddskraven ska en kopia av Bolagsverkets registreringsbevis för företaget bifogas. Om inte företaget är registrerat hos Bolagsverket accepteras ett utdrag ur Skatteverkets register, under förutsättning att detta tydligt beskriver företagets verksamhet och ansvariga befattningshavare. Observera att insänt underlag inte får vara äldre än tre månader.
3. Samtycke till registerkontroll (blankett tillgänglig via FMV:s webbplats) för den/de personer i ledningen som ska placeras i säkerhetsklassad befattning.
Utifrån uppgifter i underlaget förbereder FMV Säkerhetsskydd ett säkerhetsskyddsavtal.
7. Steg 2 Tecknande av säkerhetsskyddsavtal
FMV Säkerhetsskydd skickar information till företaget:
Missiv
Säkerhetsskyddsavtal i nivå 1, två exemplar
Denna rutin
Företaget ska, inom 10 arbetsdagar, underteckna säkerhetsskyddsavtalet och återsända båda exemplaren med A-post till FMV Säkerhetsskydd, 115 88 STOCKHOLM. Om inte avtalet undertecknas och skickas tillbaka kan inte nästa steg i processen tas. Observera att FMV inte förhandlar lydelsen i säkerhetsskyddsavtalet.
8. Steg 3 Säkerhetsprövning av ledningen
Tillsammans med de båda exemplaren av säkerhetsskyddsavtalet, ska företaget även skicka in ifylld mall för säkerhetsprövningsintervju, dels för VD, dels för säkerhetsskyddschef. Därefter kontaktar handläggare på FMV Säkerhetsskydd företaget för att boka tid för säkerhetsprövningsintervjuer med företagets ledning. Säkerhetsprövningsintervjun sker vanligen i FMV:s lokaler i Stockholm, om inte FMV beslutar om annat tillvägagångssätt.
9. Steg 4 Företagets säkerhetsskyddsarbete inleds
Företagets säkerhetsskyddsarbete måste bedrivas systematiskt och strukturerat, för att redan från början kunna genomföra rätt åtgärder.
9.1. Utbildning
Företagets säkerhetsskyddschef ska omgående anmäla sig till FMV:s nästkommande utbildning för säkerhetsskyddschefer. Det är ett villkor för att få arbeta som säkerhetsskyddschef i ett företag med säkerhetsskyddsavtal. Anvisningar och anmälningsblankett finns på FMV:s webbplats. I väntan på nästa utbildningstillfälle fortsätter företaget med sitt säkerhetsskyddsarbete.
Säkerhetschefen är ansvarig för processen och utgör företagets kontaktperson gentemot FMV Säkerhetsskydd.
9.2. Säkerhetsskyddsplanering
För att kunna göra rätt insatser måste företaget inleda sin säkerhetsskyddsplanering omgående. Säkerhetsskyddsplanering är ett begrepp med fyra grundläggande delar:
Verksamhetsanalys
Säkerhetsskyddsanalys
Säkerhetsskyddsplan (tidsatt åtgärds- och ansvarsplan)
Säkerhetsskyddsbestämmelser (säkerhetsskyddsinstruktion)
Vid utbildningen till säkerhetsskyddschef avhandlas bland annat ämnet säkerhetsskyddsplanering och vad den omfattar. Med en bra säkerhetsskyddsplanering undviks kostsamma misstag.
9.3. Säkerhetsskyddsredovisning
När företaget genomfört sin säkerhetsskyddsplanering och genomfört de konstaterade åtgärderna, ska resultatet sammanställas i säkerhetsskyddsredovisningen. Mall för redovisning finns på FMV:s webbplats. I säkerhetsskyddsredovisningens mall förtecknas de bilagor som måste inkluderas, samt bilagor som kan behöva insändas, beroende på företagets verksamhet. Skicka bara in de bilagor som erfordras enligt mallen. Vid behov kan FMV Säkerhetsskydd begära komplettering med mer information, till exempel intyg och liknande, men detta kommuniceras i så fall skriftligen till företaget. Observera att, i de fall företaget ska använda sig av någon form av IT-stöd, processen kan ta längre tid i de fall som FMV Säkerhetsskydd behöver söka samråd hos Försvarsmakten innan IT-stödet godkänns.
9.4. Granskning och uppdatering
När företaget sammanställt sin säkerhetsskyddsredovisning och relevanta bilagor ska den insändas med VÄRDE-post till FMV Säkerhetsskydd, 115 88 STOCKHOLM. Den får inte skickas med A- eller B-post, ej heller med e-post eller med kurir. Då redovisningen ankommer FMV läggs den för granskning hos FMV Säkerhetsskydd. Därefter återkommer FMV Säkerhetsskydd med granskningsmeddelande till företaget. Granskningsmeddelandet innehåller vanligen krav på förtydliganden. Företaget uppdaterar då säkerhetsskyddsredovisningen och skickar in den för kompletterande granskning.
9.5. Förstagångsbesök/kontroll av säkerhetsskydd
Om FMV Säkerhetsskydd, efter förnyad granskning, inte behöver ytterligare information bokas ett förstagångsbesök hos företaget. Syftet är att verifiera att FMV:s krav uppfylls och att det som företaget uppgivit i sin redovisning är korrekt. Förstagångsbesöket tar vanligen en arbetsdag i anspråk. Företaget får sedan ett protokoll med FMV:s observationer, krav på åtgärder och rekommendationer. Företaget har då att avhjälpa och klarrapportera åtgärderna genom insändande av uppdaterad säkerhetsskyddsredovisning.
10. Steg 5 FMV:s slutgranskning
FMV Säkerhetsskydd slutgranskar insänt underlag och godkänner därefter redovisningen, samt kommunicerar detta till företaget. Ett godkännande kan bara ske om hela företagets säkerhetsskyddsverksamhet är klar. Saknas till exempel ett godkännande av IT-system sker inget delgodkännande av övriga delar av säkerhetsskyddsverksamheten.
11. Steg 6 Företaget intygar kravuppfyllnad
Då säkerhetsskyddsredovisningen skriftligen godkänts ska företaget i en separat skrivelse bekräfta till FMV Säkerhetsskydd att man nu implementerat ISM i verksamheten. Bekräftelsen ska vara undertecknad av företagets VD.
12. Steg 7 FMV godkänner verksamhetsstället
När företaget intygat att ISM är implementerad vid aktuellt verksamhetsställe godkänner FMV Säkerhetsskydd skriftligen verksamhetsstället för hantering och förvaring av säkerhetsskyddsklassificerad uppgift.
13. Steg 8 Personalsäkerhet (säkerhetsprövning av personal)
Företaget genomför säkerhetsprövningsintervju med den personal som ska ingå i uppdraget och skickar sedan följande dokument till FMV Säkerhetsskydd:
Ansökan om registerkontroll
PM till ansökan om registerkontroll
Xxxxx på säkerhetsprövningsintervjun
Vid placering i säkerhetsklass 2 eller högre: bilaga – särskild personutredning för säkerhetsklass 1 och 2
Ansökan om registerkontroll med kopia på säkerhetsprövningssamtalet skickas med A-post till FMV Säkerhetsskydd, 115 88 STOCKHOLM. Processen kan inte påskyndas.
Då säkerhetsprövningen är klar underrättar FMV Säkerhetsskydd företaget skriftligen om detta. Företaget ska då skicka följande dokumentation till sin beställare:
Intyg om godkänd säkerhetsprövning
14. Steg 9 Klart att inleda uppdraget
När företaget erhållit FMV:s skriftliga godkännande av verksamhetsställe och personal är företaget klart att starta sitt uppdrag inom den säkerhetskänsliga verksamheten.
15. Vid behov av underleverantör
Om det uppstår behov av underleverantör för att kunna utföra uppdraget gäller följande:
15.1 Om underleverantör saknar säkerhetsskyddsavtal
1. Säkerhetsskyddskrav tas fram och dokumenteras på blanketten ”Säkerhetsskyddskrav”
2. Beställaren infordrar registreringsbevis från Bolagsverket (får ej vara äldre än 3 månader) för det företag som avses som underleverantör. Om företaget inte är registrerat hos Bolagsverket får utdrag ur Skatteverkets register användas.
3. VD/firmatecknares undertecknade samtycke till registerkontroll.
Ovanstående dokument skickas till FMV Säkerhetsskydd, 115 88 Stockholm, tillsammans med en kopia av er beställares säkerhetsskyddskrav. FMV startar därefter processen med att teckna säkerhetsskyddsavtal med underleverantören.
15.2 Om underleverantör har säkerhetsskyddsavtal sedan tidigare
Säkerhetsskyddskrav samt kopia på beställarens säkerhetsskyddskrav för det aktuella uppdraget skickas till FMV Säkerhetsskydd, 115 88 Stockholm. Svar kommer då att erhållas att avtal finns och att det även gäller aktuellt uppdrag.
OBS! Det åligger beställaren att snarast och skriftligen delge underleverantören de säkerhetsskyddskrav som uppdraget omfattas av.
16. Råd och stöd
Företaget kan kontakta FMV för råd och stöd under processen, till exempel vad avser tolkning av regelverket eller för diskussion kring säkerhetsprövning, signalskyddsfrågor, IT-säkerhet, etc:
Frågor om säkerhetsskydd: xxxxxxxx@xxx.xx
Frågor om signalskydd: xxxxxx@xxx.xx
FMV:s växel: 00-000 00 00.
På FMV:s webbplats xxx.xxx.xx/xxxxxxxx finns även en lista med de vanligaste frågorna kring säkerhetsskyddsavtal.