Sikkerhetsklarering og arbeid med gradert informasjon

Sikkerhetsklarering er en autorisasjon, en tillatelse, som utstedes av en bedrift eller offentlig organisasjon til en person som av ulike årsaker trenger direkte eller indirekte tilgang til gradert informasjon. Gradert informasjon er opplysninger med innhold av sensitiv karakter som for en gitt periode lagres i digital eller analog (fysisk) form. Gradert informasjon kan også kommuniseres direkte mellom personer og informasjonssystemer uten krav til varig lagring.

Klassifisering av gradert informasjon

Gradert informasjon organiseres i ulike klasser som Hemmelig, Strengt Hemmelig, Begrenset og Konfidensielt. Sikkerhetsklareringen skal alltid inneholde hvilken gradert informasjon personen søker adgang til, og hvilken klasse gradert informasjon opplysningene tilhører.

Godkjent søknad kan lede til utstedelse av sikkerhetsklarering for adgang til gradert informasjon i en eller flere klasser.

Det anbefales også at sikkerhetsklareringen beskriver hvor lenge vedkommende må ha utstedte tillatelser og hvilke rutiner som ligger til grunn, og som må følges når autorisasjonen utløper. Sikkerhetsklareringer er midlertidige og utstedes av bedrifter og myndigheter for en kortere eller lengre periode, alt etter situasjon og behov.

Slik blir du sikkerhetsklarert

De fleste personer som oppsøker informasjon om sikkerhetsklarering og rutiner rundt gradert informasjon, gjør det fordi de har lært at arbeidsgiver krever at personen blir sikkerhetsklarert før et eventuelt jobbintervju. Sikkerhetsklarering krever bakgrunnsjekk og referansesjekk av ulik grad, alt etter hvilke klasser den graderte informasjonen tilhører. Og er for en jobbsøker første steget inn i organisasjonen.

Prosessen for utstedelse av sikkerhetsklarering starter med at personen som skal sikkerhetsklareres fyller ut et omfattende søknadsskjema med detaljerte personopplysninger, vandelsattest, økonomi og historikk. I tillegg stiller de fleste norske arbeidsgivere krav til norsk statsborgerskap for å oppfylle kriteriene til sikkerhetsklarering og adgang til klassifisert informasjon. Krav til statsborgerskap og tilhørighet for personer som skal sikkerhetsklareres er også vanlig i mange andre land.

Søknadskjemaet får kandidaten direkte hos oppdragsgiveren som har egne rutiner og bidrar i søknadsprosessen. En oppdragsgiver kan velge å selv utføre bakgrunnsjekk av kandidater internt i egen organisasjon, men de fleste bruker eksterne byråer og tjenestetilbydere som Mily som har spisset kompetanse på bakgrunnsjekk og referansesjekk av kandidater.

Eksempel på arbeidsgiver og arbeidsoppgaver som krever sikkerhetsklarering

Her er et eksempel som beskriver en klassisk situasjon når en jobbsøker møter en organisasjon i offentlig sektor som krever at kandidaten blir sikkerhetsklarert før tiltredelse og arbeid med gradert informasjon:

Telenor eier og har ansvar for kritisk og ekstremt sårbar infrastruktur innen telecom i Norge. Tjenestene som Telenor tilbyr brukes av offentlige myndigheter inkludert NAV, Skatteetaten, Utlendingsdirektoratet (UDI), offentlige institusjoner, og Forsvaret. Eksempler på populære tjenester fra Telenor er telefoni, e-post, mobilt bredbånd og fibernett.

Arbeidsoppgaver hos Telenor krever at personell med privilegerte tilganger, i enkelte avdelinger med ansvar for drift av infrastruktur og informasjonssystemer med gradert informasjon, sikkerhetsklareres slik at de oppfyller kravene til Telenors oppdragsgivere.

Utfordringer og svakheter ved sikkerhetsklarering

Sikkerhetsklarering som teori for bedre vern av gradert informasjon i organisasjoner har vært brukt som sikkerhetsmekanisme i Norge i mange generasjoner. Den største svakheten for organisasjoner som vektlegger klarering i sin risikovurdering før ansettelse, er at forholdet rundt bakgrunnsjekk og referansesjekk er veldig situasjonsbestemt.

Kandidatens alder, erfaringer, holdninger og livssituasjon skal også vektlegges, og kan i mange situasjoner overveie der hvor forholdet med bakgrunnsjekk og referansesjekk ikke passerer organisasjonens kriterier for sikkerhetsklarering.

Mily gjennomfører bakgrunn- og referansesjekker på oppdrag for kunder, og kartlegger virksomheters trusselmodell. Vi gir konkrete tiltak og innspill til virksomheter ved etablering av prosesser og rutiner for sikkerhetsklarering.