Företagets säkerhetsarrangemang i fokus vid en säkerhetsutredning av företag

En säkerhetsutredning av ett företag består av tre etapper. Den första etappen går ut på att kontrollera företagets och dess ansvarspersoners bakgrund. Den andra etappen består av en kvalitetsrevision av säkerhetsarrangemangen. Under den tredje etappen följer man det som utretts under de två föregående etapperna. Uppföljningen pågår under hela den tid som intyget över säkerhetsutredningen av företaget gäller.

Skyddspolisen bedömer företagets och ansvarspersonernas tillförlitlighet och förmåga att sköta sina åtaganden. I detta syfte kontrolleras 

• allmänna uppgifter om företagets verksamhet 
• uppgifter om företagets ägare 
• uppgifter om företagets förmögenhet 
• kredit- och utsökningsuppgifter 
• uppgifter om skattefordringar 
• uppgifter om straff som företaget dömts till och brott som riktats mot företaget
• säkerhetsutredningar av ansvarspersonerna.

Skyddspolisen gör en bedömning av huruvida företagets säkerhetsarrangemang uppfyller uppställda krav. Detta inbegriper

• kontroll av företagets administrativa säkerhet
• inspektion av företagets lokaler
• vid behov inspektion av företagets informationssystem och datakommunikation (Traficom). 

Som utgångspunkt för bedömningen av säkerhetsarrangemangen används i regel verktyget Katakri, som används för kvalitetsrevision av informationssäkerheten. 

• Katakri – verktyg för informationssäkerhetsauditering för myndigheter

En säkerhetsutredning av företag kan också göras partiellt, exempelvis genom att bara inspektera företagets lokaler och kontrollera bakgrundsfakta, om företaget inte behandlar säkerhetsklassificerade uppgifter i sina informationssystem.

Tidsgränser styr säkerhetsutredning av ett företag

Säkerhetsutredning av ett företag fortskrider steg för steg. Tidsgränser har fastställts för mellanliggande steg, och målföretaget måste godkänna att följa dessa innan utredningen inleds. Målföretaget ger sitt samtycke skriftligen i bilaga 1 till ansökan om säkerhetsutredning av ett företag.

• Bilaga 1 till ansökan om säkerhetsutredning av ett företag (på finska)

Det inledda säkerhetsutredning av ett företag kan avslutas om målföretaget inte fullföljer utredningsstegen inom de tidsfrister som anges. Skyddspolisen hör företaget innan säkerhetsutredning av ett företag avslutas.

När ansökan anländer till Supo

0−1 månader: Uppstartsmöte hålls, varefter Supo fattar beslut om att inleda utredningen. Först efter beslutet om att inleda utredningen fakturerar Supo kunden.

2−4 månader: Kunden lämnar in bakgrundskontrollmaterialet och den första versionen av självutvärderingsmaterialet till Supo inom tre månader från uppstartsmötet. Supo kontrollerar att fakturan har betalats inom tre månader från uppstartsmötet.

5−7 månader: Bakgrundskontrollen blir klar, och självutvärderingen granskas och korrigeras vid behov. Självutvärderingen måste uppnå en godtagbar nivå inom sex (6) månader från uppstartsmötet.

7−8 månader: En lokalinspektion genomförs hos kunden.

9−10 månader: Avvikelser som upptäckts vid lokalinspektionen korrigeras. Inspektionen måste vara på en godtagbar nivå inom nio (9) månader från uppstartsmötet.

11−12 månader: Kunden lämnar in ett förbindelse till Supo och får i utbyte ett certifikat för företagsäkerhetsutredningen.

En utredning kan avslutas med en säkerhetsförbindelse

Skyddspolisen kan som avslutning på utredningen förutsätta att företaget genom en förbindelse utfäster sig att bevara den godkända nivån på informationssäkerheten. Dessutom förbinder sig företaget då att anmäla eventuella förändringar i sin informationssäkerhetsnivå till myndigheterna.

När utredningen är avslutad och företaget har undertecknat förbindelsen utfärdas ett intyg över att en säkerhetsutredning gjorts av företaget. Intyget kan återkallas om företaget inte längre uppfyller kraven eller om en ansvarsperson inom företaget försummar sina skyldigheter och företaget inte avhjälper bristerna inom utsatt tid.