Säkerhetsskyddsavtal (SUA) nivå 1
Datum: 1 (7)
Säkerhetsskyddsavtal (SUA) nivå 1
Avtal mellan
Ellevio AB (Publ)
556037-7326
Postadress: Xxxxxxxxxxxxx 000, 000 00 Xxxxxxxxx Nedan kallat ”Ellevio”.
och Företag:
Organisationsnummer:
Postadress:
Nedan kallat ”Leverantören”.
Ellevio och Leverantören träffar följande avtal kring särskilda säkerhetskrav i samband med förvaring och hantering av säkerhetsskyddsklassificerade uppgifter.
Detta avtal reglerar det skydd och säkerhetsskydd som med hänsyn till Sveriges säkerhet skall tillämpas beträffande det avtal uppdrag som Leverantören ska ut- föras åt Xxxxxxx (”Uppdrag”) enligt särskilt affärsavtal.
Uppdrag:
Uppdraget innebär att Leverantören, i sina lokaler eller utrymmen kommer hantera och förvara säkerhetsskyddsklassificerade uppgifter av betydelse för Sveriges säkerhet.
Detta avtal innehållande särskilda säkerhetskrav som omfattar de erforderliga säkerhetsåtgärder som Leverantören ska iakta, främst avseende fysisk säkerhet, informations-, IT-säkerhet samt personalsäkerhet, internutbildning och kontroll, tillsyn samt uppdragsspecifika tillägg.
Leverantören förbinder sig att beträffande Uppdraget iaktta:
• bestämmelserna i detta avtal med särskilda säkerhetskrav, och
• bestämmelserna i den säkerhetsinstruktion som som bifogas detta avtal.
Ellevio AB (publ)
Säte Stockholm. Org-nr 556037-7326 Telefon 00-000 00 00
Xxxxxxx.xx
Kontaktperson hos Leverantören är: Företag :
Kontaktperson :
Titel :
Epost :
Tel:
Vilken även ansvarar för att ovan och nedan nämnda bestämmelser följs hos Leverantören.
Kontaktperson hos Ellevio är:
Ellevio AB (publ)
Kontaktperson:
Titel:
Epost:
Tel:
1. Allmänt
1.1. Detta avtal jämte den säkerhetsinstruktion som Leverantören bifogar detta avtal skall ligga till grund för säkerhetsskyddsarbetet hos Leverantören som rör Uppdraget.
1.2. Leverantören ansvarar för genomförande och efterlevnad av säkerhetsskyddsåtgärder enligt detta avtal och dess instruktioner.
1.3. Samtliga handlingar, lagringsmedier, material, modeller, information eller liknande som har anknytning till Uppdraget ska såvitt inget annat avtalas, anses som Ellevio egendom.
1.4. Senast i samband med slutredovisningen av Uppdraget ska Leverantören
till Ellevio återlämna samtliga till Uppdraget tillhörande handlingar, lagringsmedier, material, modeller, information eller liknande.
1.5. För exponering av säkerhetsskyddsklassificerade uppgifter för utländska entreprenören, UE eller leverantörer samt medborgare gäller enligt Säkerhetsskyddsförordning kap. 3, 9 § att det ska finnas bilateralt säkerhetsskyddsavtal mellan Sverige och de länder där uppgifterna kommer att förvaras eller behandlas.
2. Säkerhetsorganisation
2.1. Hos Leverantören ska det finnas en säkerhetsskyddschef. Denna bör även ha en ersättare. Säkerhetsskyddschefen ska i säkerhetsfrågor vara direkt underställd ledningen hos Leverantören.
2.2. Säkerhetsverksamheten inom Leverantören ska bedrivas systematiskt och ledas, samordnas och löpande kontrolleras av säkerhetsskyddschefen som i säkerhetsskyddsfrågor ska vara kontaktperson gentemot Xxxxxxx.
2.3. Leverantören ska för övrigt ha en säkerhetsorganisation med tydligt ansvar och mandat för säkerhetsskyddsarbetet inom Uppdraget.
3. Informationssäkerhet
3.1. Ellevio ska skriftligen meddela Leverantören om vilka uppgifter i Uppdraget som är säkerhetsskyddsklassificerade.
3.2. Den personal som Leverantören avser att använda för arbete åt Xxxxxxx skall ur säkerhetssynpunkt vara behörig att ta del av säkerhetsskyddsklassificerade uppgifter. Behörig är endast den som:
• Bedöms pålitlig ur säkerhetssynpunkt
• Har tillräckliga kunskaper om skydd och säkerhetsskydd och
• Behöver uppgifterna för sitt arbete i Uppdraget där de
säkerhetsskyddsklassificerade uppgifterna förekommer
3.3. För genomförande av Uppdraget får Leverantören endast använda egen personal eller personal hos underleverantör som godkänns av Ellevio.
3.4. All personal som ska delta i Uppdraget ska innan detta påbörjas informeras om innebörden och räckvidden av tystnadsplikten.
3.5. Undertecknade tystnadsförbindelser ska hanteras och förvaras av Leverantören på betryggande sätt.
3.6. Utrymmen för förvaring och behandling av säkerhetsskyddsklassificerade uppgifter och material ska godkännas av Ellevio.
3.8. Handlingar och material som innehåller säkerhetskyddsklassificerade
uppgifter får endast förstöras genom Ellevio försorg eller enligt överenskommelse med Ellevio.
Säkerhetsskyddsklassificerade uppgifter, som ingår i Uppdraget får inte lämnas ut till myndighet, företag eller enskild utan Ellevio skriftliga godkännande.
Detta gäller även utlämnande av uppgifter till massmedia eller för publicering i broschyrer, tidskrifter, böcker, filmer eller likande.
Vad som sägs under första stycket skall gälla även vid föredrag, utställning och förevisning, dit annan än från säkerhetssynpunkt behöriga äger tillträde.
4. Säkerhetsprövning
4.1. Leverantören ska innan enskild anställd eller uppdragstagare får tillgång till säkerhetsskyddsklassificerade uppgifter eller tillträde till säkerhetskänslig verksamhet genom säkerhetsprövning pröva
vederbörandes lämplighet och pålitlighet. Säkerhetsprövningen ska dokumenteras av Leverantören.
Säkerhetsprövningen omfattar:
• Personkännedom genom säkerhetsprövningsintervju,
• Kontroll av referenser, och betyg, intyg och liknande.
Utöver detta ska samtycke och framställan för registerkontroll sändas till Ellevio för av Ellevio genomförande av registerkontroll.
4.2. Leverantören ska använda
Ellevios mallar som hämtas på
xxxxx://xxx.xxxxxxx.xx/xxxxxxx/xxxxxxxxxxxxxx/
och lämnas över till Ellevio. Säkerhetsprövningen utgör underlag för
Xxxxxxxx beslut om inplacering i säkerhetsklass.
4.3. Den som avses bli föremål för registerkontroll ska av Leverantören informeras om detta.
4.4. Leverantören ska utan dröjsmål anmäla till Ellevio om en säkerhetsklassad person hos Leverantören byter befattning, lämnar det aktuella Uppdraget eller avslutar sin anställning.
4.5. Leverantören ska fortlöpande till Ellevio anmäla omständigheter som kan vara av betydelse för bedömning av en säkerhetsprövad persons lämplighet eller pålitlighet.
4.6. Om en person som har säkerhetsprövats inom ramen av detta avtal, under Uppdragets genomförande bedöms av Ellevio som olämplig ur säkerhetssynpunkt, ska Leverantören vidta de åtgärder för att vederbörande inte skall få tillgång till säkerhetsskyddsklassificerade uppgifter eller access till säkerhetskänslig verksamhet hos Ellevio.
5. Fysisk säkerhet
5.1. Innan Uppdraget påbörjas ska Ellevio i samråd med Leverantören besluta om nivån på fysiska säkerheten i de lokaler och utrymmen som leverantören avser att utnyttja för förvaring eller behandling av säkerhetsskyddsklassificerade uppgifter. Vid utformning av fysiska säkerhetsåtgärder ska hänsyn tas till skyddsklass 2 enligt SSF 200:5.
5.2. Om Leverantören under Uppdragets genomförande avser att utnyttja nya lokaler eller utrymmen för förvaring eller behandling av säkerhetsskyddsklassificerade uppgifter ska detta omgående anmälas till Ellevio för fastställande av nivån på säkerhetsskyddet.
5.3. Besök till lokaler och utrymmen som omfattas av detta avtal ska vara spårbart och föras logg över. Med besökare avses varje person som inte redan är behörig enligt villkoren i punkterna 4.1.
6. IT-säkerhet
6.1. Vid användning av IT-system för förvaring eller behandling av säkerhetsskyddsklassificerade uppgifter ska hänsyn tas till bestämmelser i säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) kap. 4. En sådan tillämpning ska föregås av samråd med Xxxxxxx.
6.2. Det ska finnas fastställda instruktioner för användning, förvaltning, drift och avveckling av IT-system som är avsedda för behandling av säkerhetskyddsklassificerade uppgifter. Sådana instruktioner ska dokumenteras och fastställas av säkerhetsansvarig
(säkerhetsskyddschef, VD eller motsvarande).
6.3. Vid anskaffning, användning, utveckling, förändring eller avveckling av
ett IT-system, som är avsett för behandling av säkerhetskydds-klassificerade uppgifter ska de säkerhetsrisker och de sårbarheter som kan finnas i och kring systemet analyseras. Analysen ska resultera i en sammanställning över de åtgärder som ska vidtas för att erforderligt säkerhetsskydd ska upprätthållas. En sådan analys ska dokumenteras.
6.4. Vid idrifttagning av IT-system som avser att behandla säkerhetsskyddsklassificerade uppgifter ska en granskning av säkerheten i och kring IT-systemet göras. Resultatet av en sådan säkerhetsgranskning ska dokumenteras.
6.5. Ett IT-system, som är avsett för behandling av
säkerhetskyddsklassificerade uppgifter ska vara försett med de tekniska och administrativa åtgärder som krävs för bland annat identifiering av användaren, verifiering av den föregivna identiteten, styrning av användarens åtkomsträttigheter till systemet.
6.6. I ett IT-system som är avsett för behandling av säkerhetskyddsklassificerade uppgifter och som är avsett att användas av flera personer, ska loggning ske av användaridentitet, datum och tidpunkt för inloggning och utloggning samt i övrigt sådana användaraktiviteter som är av betydelse för säkerheten i systemet.
6.7. Det ska finnas ett dokumenterat beslut om hur ofta säkerhetsloggar ska analyseras, vad som ska analyseras och vem som ska ansvara för sådan analys samt hur länge säkerhetsloggar ska bevaras.
6.8. Det ska finnas dokumenterade och fastställda rutiner för hantering, rapportering och uppföljning av incidenter av betydelse för säkerheten i eller kring ett IT-system om incidenten kan påverka rikets säkerhet eller skyddet mot terrorism eller om IT-systemet behandlar uppgifter som är säkerhetskyddsklassificerade.
7. Intern utbildning och kontroll
7.1. Personal som kan komma att få del av säkerhetskyddsklassificerade uppgifter ska innan Uppdraget påbörjas och därefter fortlöpande ges erforderlig utbildning genom Leverantören försorg och i dialog med Ellevio angående:
a) Hot och risker som kan föreligga med anledning av verksamheten,
b) Sekretessförhållanden,
c) Innebörden och räckvidden av tystnadsplikten,
d) Tillträdesregler, och
e) Xxxxxx säkerhetskyddsåtgärder som enligt de av Ellevio meddelade säkerhetsbestämmelserna som ska vidtas mot föreliggande hot och risker.
Den grundläggande utbildningen ska med angivande av utbildningsdatum skriftligen bekräftas till Ellevio. Vid behov och efter framställan kan Ellevio medverka i viss del av utbildningen.
7.2. Leverantören ska fortlöpande kontrollera att endast behörig personal anlitas och att säkerhetsskyddet följer bestämmelserna enligt detta avtal och dess säkerhetsskyddsinstruktioner.
7.3. Leverantören ska hålla Ellevio underrättad om inträffande eller befarade händelser och omständigheter, som kan påverka säkerhetsskyddet vad avser Uppdraget och anställda och uppdragstagare som faller under detta avtal.
8. Tillsyn
8.1. Ellevio och enligt lag även tillsynsmyndigheter (Säkerhetspolisen och Affärsverket svenska kraftnät) har rätt att kontrollera säkerhetsskyddet hos Leverantören.
9. Kostnader
9.1. Eventuella kostnader som uppkommer hos Leverantören och dess underleverantörer med anledning av detta avtal och eventuella säkerhetsskyddsavtal som kan komma att upprättas med underleverantörer, ska ingå i det slutliga pris som Xxxxxxx betalar för enligt affärsavtalet/ kontraktet mellan Beställaren och Leverantören.
10. Giltighet
10.1. Detta avtal träder i kraft vid undertecknandet och gäller tillsvidare intill det skriftligen sägs upp av endera parten. Leverantören kan dock inte säga upp Avtalet före den dag, då Uppdrag som omfattas av detta Avtal har slutförts.
Ellevio kan dock ensidigt häva avtalet, om Leverantören bryter mot
bestämmelserna i detta avtal.
10.2. Säkerhetskyddsklassificerade uppgifter som erhållits eller uppkommit under fullgörande av uppdrag, som omfattas av detta avtal, skall även efter avtalets upphörande skyddas till dess annat meddelas av Ellevio.
10.3. Leverantören skall utan dröjsmål anmäla till Ellevio när någon
ändring sker beträffande firmanamn, organisationsnummer, post- och besöksadress samt, styrelse övrig ledning, säkerhetsansvariga och revisorer. Detsamma gäller vid ändrade ägandeförhållanden eller om Leverantören råkar i ekonomiska svårigheter eller försätts i konkurs. Aktuellt registreringsbevis, som är högst tre månader gammalt, ska bifogas anmälan.
Av detta avtal är två likalydande exemplar upprättade och utväxlade.
…………………………. Ort och datum
Ellevio AB
…………………………. Ort och datum
Bemyndigad avtalstecknare Bemyndigad avtalstecknare
Namnförtydligande Namnförtydligande