Företagets säkerhetsarrangemang i fokus vid en säkerhetsutredning av företag
När Skyddspolisen gör en säkerhetsutredning av ett företag analyserar den ansvarspersonernas tillförlitlighet, företagets förmåga att sköta sin åtaganden och företagets säkerhetsarrangemang.
En säkerhetsutredning av ett företag består av tre etapper. Den första etappen går ut på att kontrollera företagets och dess ansvarspersoners bakgrund. Den andra etappen består av en kvalitetsrevision av säkerhetsarrangemangen. Under den tredje etappen följer man det som utretts under de två föregående etapperna. Uppföljningen pågår under hela den tid som intyget över säkerhetsutredningen av företaget gäller.
Skyddspolisen bedömer företagets och ansvarspersonernas tillförlitlighet och förmåga att sköta sina åtaganden. I detta syfte kontrolleras
- allmänna uppgifter om företagets verksamhet
- uppgifter om företagets ägare
- uppgifter om företagets förmögenhet
- kredit- och utsökningsuppgifter
- uppgifter om skattefordringar
- uppgifter om straff som företaget dömts till och brott som riktats mot företaget
- säkerhetsutredningar av ansvarspersonerna.
Skyddspolisen gör en bedömning av huruvida företagets säkerhetsarrangemang uppfyller uppställda krav. Detta inbegriper
- kontroll av företagets administrativa säkerhet
- inspektion av företagets lokaler
- vid behov inspektion av företagets informationssystem och datakommunikation (Traficom).
Som utgångspunkt för bedömningen av säkerhetsarrangemangen används i regel verktyget Katakri, som används för kvalitetsrevision av informationssäkerheten.
En säkerhetsutredning av företag kan också göras partiellt, exempelvis genom att bara inspektera företagets lokaler och kontrollera bakgrundsfakta, om företaget inte behandlar säkerhetsklassificerade uppgifter i sina informationssystem.
En utredning kan avslutas med en säkerhetsförbindelse
Skyddspolisen kan som avslutning på utredningen förutsätta att företaget genom en förbindelse utfäster sig att bevara den godkända nivån på informationssäkerheten. Dessutom förbinder sig företaget då att anmäla eventuella förändringar i sin informationssäkerhetsnivå till myndigheterna.
När utredningen är avslutad och företaget har undertecknat förbindelsen utfärdas ett intyg över att en säkerhetsutredning gjorts av företaget. Intyget kan återkallas om företaget inte längre uppfyller kraven eller om en ansvarsperson inom företaget försummar sina skyldigheter och företaget inte avhjälper bristerna inom utsatt tid.