Industrisikkerhet
Generelt
Forsvarsmateriell industrisikkerhet skal gi råd og veiledning, stille krav, og kontrollere Forsvarets leverandører ved sikkerhetsgraderte anskaffelser. Sjef Forsvarsmateriell industrisikkerhet er av direktør Forsvarsmateriell gitt ansvar og myndighet til å inngå, forvalte og terminere sikkerhetsavtaler på vegne av etaten.
Leverandørklarering
Formålet med leverandørklarering er å sikre et forsvarlig sikkerhetsnivå under anskaffelsen. Det kreves leverandørklarering for å kunne levere varer eller tjenester til en sikkerhetsgradert anskaffelse på KONFIDENSIELT nivå eller høyere. Forsvarsmateriell industrisikkerhet er anmodende myndighet for leverandørklarering. Nasjonal sikkerhetsmyndighet (NSM) er leverandørklareringsmyndighet.
Underleverandører er sidestilt med leverandører. Underleverandører er sidestilt med leverandører. Leverandørklarering er normalt gyldig i fem år.
Sikkerhetsklarering
Ved behov for sikkerhetsklarering av leverandørens personell er det Forsvarsmateriell industrisikkerhet som er anmodende virksomhet. Forsvarets sikkerhetsavdeling (FSA) er klareringsmyndigheten.
Førstegangskontroll
Formålet med førstegangskontroll er å veilede leverandør slik at de oppnår forsvarlig sikkerhetsnivå. Førstegangskontroll gjennomføres før inngåelse av sikkerhetsavtale. En førstegangskontroll innebærer:
- Gjennomgang av styringssystem for sikkerhet (Styringsdokument for det forebyggende sikkerhetsarbeidet (SDS)).
- Innholdet i sikkerhetsavtalen.
- Prosess for godkjenning av informasjonssystemer.
- Autorisasjon av daglig leder.
- Fysisk sikring
Etter førstegangskontrollen utarbeider Forsvarsmateriell industrisikkerhet en rapport med tiltak som må gjennomføres for å oppnå forsvarlig sikkerhetsnivå. Alle tiltak må være på plass før sikkerhetsavtalen inngås.
Informasjonssystemer
En leverandør skal sørge for at informasjonssystemer som skal behandle sikkerhetsgradert informasjon er godkjent før de tas i bruk. Andre skjermingsverdige informasjonssystemer skal godkjennes så snart det er praktisk mulig (§50 andre ledd i virksomhetsikkerhetsforskriften). Leverandøren skal søke Forsvarsmateriell industrisikkerhet om tillatelse til bruk av informasjonssystemene før de tas i bruk i den sikkerhetsgraderte anskaffelsen.
Sikkerhetsavtale
Sikkerhetsavtale skal inngås i alle sikkerhetsgraderte anskaffelser. Først når sikkerhetsavtalen er inngått kan sikkerhetsgradert informasjon deles med leverandør. Dersom tillatelse til bruk av informasjonssystemer ikke er gitt på dette tidspunktet må andre metoder enn elektronisk utveksling benyttes. En sikkerhetsavtale skal sikre at krav til håndtering av sikkerhetsgradert informasjon i forbindelse med sikkerhetsgraderte anskaffelser blir oppfylt.
Revisjon
Forsvarsmateriell industrisikkerhet gjennomfører revisjoner av leverandører til sikkerhetsgraderte anskaffelser. Revisjonene gjennomføres i henhold til sikkerhetsavtalens virkeområde for å avklare hvorvidt leverandøren oppfyller kravene til forsvarlig sikkerhetsnivå.
Dersom det avdekkes eventuelle avvik eller observasjoner i forhold til bestemmelsene i Sikkerhetsloven skal leverandøren korrigere forholdene. Det er en forutsetning for å kunne videreføre leverandørklarering og/eller sikkerhetsavtalen som er inngått.
Terminering av sikkerhetsavtale
Når anskaffelsesprosjekter avsluttes skal sikkerhetsavtaler termineres og sikkerhetsgradert informasjon leveres tilbake til prosjektet eller destrueres.
Råd og veiledning
Forsvarsmateriell industrisikkerhet gir råd og veiledning til leverandører i forbindelse med inngåelse av sikkerhetsavtaler, førstegangskontroll, revisjoner, prosessen for godkjenning av informasjonssystemer, sikkerhetsklarering og leverandørklarering slik at leverandøren kan oppnå forsvarlig sikkerhetsnivå.