En fråga som jag ofta får är vad jag som Säkerhetsskyddschef skulle göra om jag vore IT-chef och mitt företag träffades av den nya Säkerhetsskyddslagen som trädde i kraft 2019? Därför jag har sammanställt 5 råd som jag hoppas kan vara till hjälp.
Vad innebär den nya Säkerhetsskyddslagen och vilka träffas av den?Den första april 2019 trädde den nya Säkerhetsskyddslagen i kraft som ställer nya och högre krav på myndigheterna att skydda känslig verksamhet och information. Nytt är även att vissa företag omfattas av kraven.Om du som privat aktör har uppdrag inom stat, kommun, landsting eller motsvarande kritisk infrastruktur som är av betydelse för Sveriges säkerhet, träffas du av den nya säkerhetsskyddslagen (2018:585).
Vad skulle jag göra om jag vore IT-chef och träffades av den nya säkerhetsskyddslagen?
- Identifiera och bedöm företagets skyddsvärden
Mitt första råd är att låta säkerhetsskyddsanalysen få ta tid. Var noga när du ska identifiera och bedöma era skyddsvärden. Om du inte vet vilka era skyddsvärden är så kan du heller inte veta hur du kan skydda dem. - Ta hjälp av rätt personer
Mitt andra råd att se till att rätt personer med verksamhetskompetens samt analysförmåga deltar i arbetet. Våga ta hjälp. Ensam är inte alltid stark. - Värdera åtgärder i förhållande till effekt
Tänk på att värdera föreslagna skyddsåtgärder i förhållande till önskad effekt. Exempelvis är det viktigt att man dimensionerar informationssäkerheten efter skyddsvärdet i informationen. - Paketera budskapet beroende på målgrupp
Paketera och anpassa säkerhetsskyddsbudskapet beroende på vem som är din målgrupp. Företagsledningen har förmodligen inte samma intressen och behov som ex verksamhetsansvarig eller utövare. - Insikten att en grundlig säkerhetsprövningsintervju är vägledande
En synnerligen viktig del och konkurrensfördel är att genomföra en säkerhetsprövningsintervju med nyanställd eller anställd personal då man redan innan eventuellt uppdrag vet om företagets personal klarar en registerkontroll. Man kan se det som en investering då man vet att all personal kan användas i känslig verksamhet framgent.Som balans till ovan ska man veta att lagen inte kräver att man är fullständigt oförvitlig utan det finns bedömningsgrund som exempel, enstaka förseelser i ungdomen eller liknande. Säkerhetsprövningen ska även utröna huruvida personen i fråga är lojal mot arbetsgivaren och inte utgör någon sårbarhet för verksamheten/uppdraget.
Källa: IT-Total blogg