AMPRNet Sverige 2024-12-07

Säkerhetsskyddsinstruktion

  1. Allmänt

    2. Denna instruktion ska styra upp hur föreningen skyddar den information föreningen äger och den information föreningen anförtros av samarbetspartners uppdragsgivare. Instruktionen kompletteras med arbetsbeskrivningar för enskilda arbetsuppgifter.

    Syftet med denna säkerhetsskyddsinstruktion är att reglera och förklara de åtgärder som alla måste förhålla sig till, för att säkerställa en obruten säkerhetsskyddskedja och uppnå en acceptabel grundnivå för säkerhetsskydd.

  2. Definitioner

    • Föreningen: Föreningen AMPRNet Sverige eller, i förekommande fall, avdelning inom föreningen AMPRNet Sverige.
    • Behörig: Behörig att ta del av hemlig uppgift är endast den som
      • bedöms pålitlig från säkerhetsskyddssynpunkt,
      • har tillräckliga kunskaper om säkerhetsskydd,
      • behöver uppgifterna för sitt arbete i den verksamhet där de hemliga uppgifterna förekommer.
        Alla andra är obehöriga att ta del av hemlig uppgift.
    • Uppdragsgivare: Den myndighet eller verksamhetsutövare med vilken föreningen har samarbete innefattande arbete med säkerhetsskyddsklassificerade uppgifter.
    • Hemlig handling: Handling som innehåller säkerhetsskyddsklassificerade uppgifter.

  3. Informationsskydd

    1. Föreningens interna information

      2. Information som kan användas för intrång i föreningens lokaler eller tekniska utrustningar ska hållas skyddad från extern åtkomst.

      Extra känslig information ska delges endast de i föreningen som behöver den för att fullgöra sina uppgifter.

    2. Information rörande föreningens samarbetspartners

      3. Information rörande föreningens samarbetspartners ska hanteras på ett ansvarsfullt sätt. Samarbetspartnern är den som tar beslut om vilka uppgifter som får delas utåt respektive vilka som endast är för internt bruk respektive extra känsliga som endast ska delges en begränsad grupp

    3. Information rörande föreningens uppdragsgivare

      4. Information rörande föreningens uppdragsgivare ska som grundregel endast delges de inom föreningen som behöver den för sitt arbete. Notera att detta även innefattar ATT föreningen har ett uppdrag från uppdragsgivaren. Avsteg från grundregeln kan ske efter att samråd skett med uppdragsgivaren och detaljer kring vad som får delges och till vilka det får delges har beslutats. Beslut och detaljer ska vara dokumenterade.

  4. Tillträdesskydd

    1. Föreningens lokaler / platser

      2. Som ”föreningens lokaler” räknas ägda eller hyrda av föreningen eller någon av dess medlemmar. Tillträde bestäms av respektive lokalägare. Tillträde kan kräva att en specifik besöksmottagare är närvarande. Tillträde kan vara bestämt till specifika medlemmar som får eller inte får ta med andra medlemmar.

    2. Lokaler / platser där föreningen har utrustning inplacerad

      3. Tillträde bestäms av respektive lokalägare. Tillträde kan kräva att en specifik besöksmottagare är närvarande. Tillträde kan vara bestämt till specifika medlemmar som får eller inte får ta med andra medlemmar.

    3. Uppdragsgivares lokaler / platser

      4. Tillträde bestäms av respektive lokalägare. Tillträde kan kräva att en specifik besöksmottagare är närvarande. Tillträde kan vara bestämt till specifika medlemmar som får eller inte får ta med andra medlemmar. Besök ska dokumenteras med angivande av vilka som deltar.

  5. Identitetsskydd

    6. Identitet behöver fastställas vid kontakter där informationsutbyte sker, vid möten där röstning ska ske samt vid access till föreningens IT-resurser. Identitetskontroll kan ske på flera olika sätt där det enklaste är att deltagarna känner igen varandra. Om ytterligare behov finns kan det kompletteras med ID-handling, Elektroniskt ID, befintlig inloggning, digital signatur osv.

  6. IT-säkerhet

    7. All föreningens utrustning ska ha access endast av behöriga användare, ansvariga för respektive utrustning delar ut behörigheter. Anslutning ska ske med så säker teknik som är praktiskt möjlig. Kontinuerligt arbete med att säkerställa att lämpliga krav används är nödvändigt för god säkerhet.

  7. Utbildning

    8. Utbildning i säkerhetsskydd för alla är önskvärt. Föreningens uppdragsgivare kan komma att kräva den typen av utbildning. Det är lämpligt att de som arbetar inom uppdrag har en utbildning som grund så att uppdragsgivaren endast behöver komplettera med egna krav.