Till sökformuläret för RA-FS

Riksarkivets föreskrifter och allmänna råd om gallring av säkerhetshandlingar

Nummer
2021:3
Grundförfattning
2021:3
Status
Giltig
Ladda hem
Bemyndigande
11 och 12 §§ arkivförordningen (1991:446) samt 10 § förordningen (2015:605)
Beslutsdatum
2021-02-22
Dag för ikraftträdande
2021-04-15
Diarienummer
RA-KS 2021/879
Anmärkningar
Genom dessa föreskrifter
Dessa föreskrifter är
Övriga dokument
Författningens text
Riksarkivets författningssamling ISSN 0283-2941 Ansvarig utgivare: Efwa Westre Stövander RA-FS 2021:3 Utkom från trycket den 26 mars 2021 Riksarkivets föreskrifter och allmänna råd om gallring av säkerhetshandlingar; beslutade den 22 februari 2021. Riksarkivet föreskriver med stöd av 11 och 12 §§ arkivförordningen (1991:446) samt 10 § förordningen (2015:605) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring. 1 kap. Omfattning och tillämpningsområde 1 § I denna författning finns föreskrifter som reglerar vilka allmänna handlingar som får eller ska gallras inom statliga myndigheters arbete med informationssäkerhet och säkerhetsskydd. Författningen ska tillämpas vid gallring av dessa handlingar. 2 § Föreskrifterna gäller för – statliga myndigheter, med undantag för riksdagens myndigheter, regeringen, Regeringskansliet och utrikesrepresentationen, – sådana organ som avses i 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) till den del de allmänna handlingarna härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen, – sådana enskilda organ som avses i lagen (2015:602) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring. Med begreppet myndighet avses i dessa föreskrifter, om inte annat anges, sådana myndigheter och organ som upptas i första stycket. 3 § Föreskrifterna i denna författning gäller om det inte finns avvikande regler om bevarande eller gallring i lag eller förordning eller i föreskrifter eller beslut som grundar sig på lag eller förordning. 2 kap. Definitioner 1 § I denna författning avses med fysisk säkerhet att förhindra eller försvåra fysisk åtkomst till, skador på och störningar i tillgången till organisationens information och informationssystem, för säkerhetsskydd detsamma som anges i 2 kap. 3 § säkerhetsskyddslagen (2018:585), gallra förstöra allmänna handlingar eller uppgifter i allmänna handlingar eller vidta andra åtgärder med handlingarna som medför – förlust av betydelsebärande data, – förlust av möjliga sammanställningar, – förlust av sökmöjligheter, eller – förlust av möjligheter att bedöma handlingarnas autenticitet, informationssäkerhet bevarande av konfidentialitet, riktighet och tillgänglighet hos information, för säkerhetsskydd detsamma som anges i 2 kap. 2 § säkerhetsskyddslagen (2018:585), informationssystem applikationer, tjänster eller andra komponenter som hanterar information, i begreppet ingår också nätverk och infrastruktur, lagringsmedium fysiskt underlag för handlingar som används för att kunna lagra och läsa uppgifter i till exempel USB-minnen, mobiltelefoner, bärbara datorer, kopiatorer och skrivare, personalsäkerhet att säkerställa att anställda eller de som deltar i verksamheten förstår sitt ansvar och är lämpliga för de roller som de är tilltänkta för, för säkerhetsskydd detsamma som anges i 2 kap. 4 § säkerhetsskyddslagen (2018:585), signalskyddstjänst kryptografiska funktioner som är godkända av försvarsmakten och som är avsedda för att skydda säkerhetskänslig verksamhet, säkerhetsskydd detsamma som anges i 1 kap. 2 § säkerhetsskyddslagen (2018:585), säkerhetskänslig verksamhet detsamma som anges i 1 kap. 1 § säkerhetsskyddslagen (2018:585), säkerhetsskyddsklassificerad handling detsamma som anges i 1 kap. 4 § säkerhetsskyddsförordningen (2018:658), säkerhetsskyddsklassificerade uppgifter detsamma som anges i 1 kap. 2 § säkerhetsskyddslagen (2018:585). 3 kap. Gallring 1 § Gallring av räkenskapsinformation, löne- och personaladministrativa handlingar samt handlingar vid upphandling regleras i Riksarkivets föreskrifter om gallring av sådana handlingar. 2 § Allmänna handlingar som efter en tid förlorar betydelse för myndigheternas arbete med informationssäkerhet och säkerhetsskydd, till exempel överflödiga sammanställningar eller sammanställningsmöjligheter för fortlöpande intern kontroll, avstämning eller rapportering, får gallras med frister som myndigheten själv fastställer. 3 § Myndigheter får, med de begränsningar som följer av 4 och 5 §§, gallra allmänna handlingar som anges i bilagorna till denna författning. I bilaga 2 finns en bestämmelse om att signalskyddsnycklar ska gallras, vilket innebär att de begränsningar som följer av 4 och 5 §§ inte kan tillämpas för denna handlingstyp. 4 § Gallringen får endast ske under förutsättning att allmänhetens rätt till insyn inte åsidosätts och att handlingarna bedöms sakna värde för rättskipning, förvaltning och forskning. Allmänna råd. Myndigheterna bör kontinuerligt genomföra analyser av sin tillämpning av författningens föreskrifter och med dess resultat som stöd bevara handlingar som bedömts som viktiga för förståelsen av säkerhetsarbetet i den egna verksamheten eller förståelsen för hur det egna säkerhetsarbetet påverkat eller påverkats av omvärlden. 5 § För allmänna handlingar som får gallras när de inte behövs för verksamheten ska fristen eller tidpunkten för gallring fastställas så att inte handlingarna gallras innan: – föreskriven bearbetning, redovisning eller kontroll har slutförts, – tidsfrist för revision och preskription har gått ut, – betydelse för styrkande av rättigheter och skyldigheter eller – betydelse för förståelse av andra handlingar har upphört. 4 kap. Dokumentation 1 § Myndigheten ska dokumentera tillämpningen av dessa föreskrifter. 2 § Att myndighetens arkivredovisning ska omfatta hela myndighetens arkivbestånd framgår av 6 kap. 2 § Föreskrifter om ändring av Riksarkivets föreskrifter (RA–FS 1991:1) och allmänna råd om arkiv hos statliga myndigheter1. Av 16 § framgår även att handlingar som gallras ska förtecknas. 3 § Ytterligare föreskrifter om dokumentation av elektroniska handlingar (upptagningar för automatiserad behandling) finns i 5 kap Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling). 1) Ändrad genom RA-FS 2019:2 1. Denna författning träder i kraft den 15 april 2021. 2. Denna författning får tillämpas retroaktivt. KARIN ÅSTRÖM IKO Fredrik Lindberg Innehållsförteckning RA-FS 2021:3 Bilaga 1 Gallring av informationssäkerhetshandlingar förutom säkerhetsskydd.............................................................................................. 6 Handlingar och lagringsmedium................................................................ 6 Informationssystem.................................................................................... 8 Personalsäkerhet...................................................................................... 11 Fysisk säkerhet......................................................................................... 12 Incidenthantering....................................................................................... 12 Bilaga 2 Gallring av säkerhetsskyddshandlingar.....................................14 Handlingar och lagringsmedium.................................................................14 Signalskyddstjänst......................................................................................18 Informationssystem.....................................................................................23 Personalsäkerhet.........................................................................................25 Fysisk säkerhet............................................................................................28 Incidenthantering........................................................................................30 6 RA-FS 2021:3 Bilaga 1 Gallring av informationssäkerhetshandlingar förutom säkerhetsskydd Myndigheter får gallra handlingar enligt nedan Handlingar Gallring Anmärkningar Handlingar och lagringsmedium Dokumentation över förstörda handlingar eller lagringsmedium. När de inte behövs för verksamheten. Avser till exempel: – Förstörings- eller gallringsrapporter. – Makuleringslistor. – Kassations- och avyttringsprotokoll/ rapporter. Dokumenterade till- stånd om att föra ut utrustning, handlingar eller datorprogram utanför organisationens lokaler. När de inte behövs för verksamheten. Dokumentation över transport av handlingar och lagringsmedium. När de inte behövs för verksamheten. Avser handlingar om hur handlingar och lagringsmedium skyddas mot obehörig åtkomst, missbruk eller förvanskning under transport. Avser till exempel: – Transportsäkerhetsanalyser. – Transportsäkerhetsplaner. – Beslut om transportnivåer. Handlingar och uppgifter rörande hantering av användaråtkomst eller behörighetskontroll till handlingar och informationssystem. När de inte behövs för verksamheten. Avser handlingar och uppgifter om att styra och begränsa åtkomst till handlingar och informationssystem, säkerställa behörig användaråtkomst och att förhindra obehörig åtkomst till informationssystem och tjäns- ter samt att förhindra obehörig åtkomst till system och tillämpningar. 7 Handlingar Gallring Anmärkningar RA-FS 2021:3 Avser till exempel: – Dokumenterade beslut om tilldelning av användaridentitet och behörighet. – Förteckningar över användare med åtkomsträttigheter eller behörigheter. – Handlingar rörande autentisering och behörighetskontroll. – Lösenord. – Användarkonton, administratörskonton och testkonton. Handlingar rörande kryptografiska säkerhetsåtgärder. När de inte behövs för verksamheten. Avser handlingar för sådant som hantering av krypteringsnycklar och krypteringsmateriel vid generering, lagring, hämtning, distribution, återkallande och destruering. För gallring av handlingar rörande signalskyddstjänst, se bilaga 2. Handlingar rörande aktiva kort och mjuka certifikat. När de inte behövs för verksamheten. Avser till exempel: – Beställningshandlingar. – Kvittenser. – Register över kort och certifikat. – Kortet eller certifikatet. För gallring av handlingar inom signalskyddstjänst, se bilaga 2. 8 RA-FS 2021:3 Handlingar Gallring Anmärkningar Informationssystem Uppgifter och handlingar som rör säkerhet vid utveckling av och ändringar i informationssystem. När de inte behövs för verksamheten. Avser handlingar och uppgifter som syftar till att säkerställa att förändringar är säkra, kontrollerade, god- kända och införs på ett systematiskt, spår- bart och kontrollerat sätt. Kan ingå i en samlad dokumentation avseende utveckling och ärenden om änd- ringar. Avser till exempel: – Ändringsförslag. – Lösningsförslag. – Rapporter om genomförda förändringar. – Handlingar rörande test. Avser inte den dokumentation som behövs för att doku- mentera elektroniska handlingar som ska bevaras. Förteckningar över tillgångar kopplade till informationssystem. När de inte behövs för verksamheten. Avser förteckningar som identifierar och kartlägger sådant som maskinvaruenheter, programvaror och tjänster i syftet att skaffa överblick över tillåtna och otillåtna enheter och programinstallationer och att ha kontroll över gällande konfigurationer. 9 Handlingar Gallring Anmärkningar RA-FS 2021:3 Handlingar och upp- gifter som beskriver ingående delar i infor- mationssystem och som har betydelse för verk- samhetens säkerhet. När de inte behövs för verksamheten. Avser dokumentation som redogör för de säkerhetsåtgärder som avser informationssystemet och vad som är av betydelse för att kunna upprätthålla säkerheten i och kring systemet. Kan ingå i en sam- lad dokumentation som beskriver ingående delar i informationssystemet. Avser inte den dokumentation som behövs för att doku- mentera elektroniska handlingar som ska bevaras. Handlingar rörande ändringshantering inom it-drift. När de inte behövs för verksamheten. Avser handlingar och uppgifter rörande säkerheten vid änd- ringar i informationssystem. Avser till exempel: – Uppgifter i register över ändringar. – Bedömningar av den potentiella påverkan, inbegripande påverkan på informaionssäkerhet. – Verifieringar av att informationssäkerhetskrav är uppfyllda. Kan ingå i en samlad dokumentation som rör ändringshantering. Avser inte den dokumentation som behövs för att dokumentera elektroniska handlingar som ska bevaras 10 RA-FS 2021:3 Handlingar Gallring Anmärkningar Handlingar rörande kapacitetshantering. När de inte behövs för verksamheten. Avser handlingar och uppgifter om när användningen av informationssystem övervakas och justeras samt när prognoser görs av framtida kapacitetskrav. Kan ingå i en samlad dokumentation om kapacitetshantering. Handlingar rörande skydd mot skadlig kod. När de inte behövs för verksamheten. Avser till exempel inkomna program och handlingar rörande uppdatering av pro- gram för upptäckt av skadlig kod m.m. Uppgifter i loggar som registrerar händelser som kan påverka säkerheten i eller kring ett informationssystem. När de inte behövs för verksamheten. Avser manuell eller automatisk registrering av uppgifter i loggar som syftar till att upptäcka och utreda sådant som skadlig eller otillåten påverkan, obehörig åtkomst och funktionsstörningar i informationssystem. Kan benämnas som säkerhetsloggar. Dokumenterade ana- lyser av innehållet i säkerhetsloggar. När de inte behövs för verksamheten. Avser även de upp- gifter i loggar som identifierats, samlats in, kopierats för att ligga till grund för analys. Uppgifter i analyser kan bestå av t.ex. beskrivning av händelser som för- ändringar och störningar i driften, be- dömd orsak och vid- tagen åtgärd. Kan ingå i myndighetens incidenthantering. 11 Handlingar Gallring Anmärkningar RA-FS 2021:3 Personalsäkerhet Handlingar rörande bakgrundskontroll för den som inte anställs eller anlitas. 1) När de inte behövs för verksamheten om kontrollen avbryts av arbetsgivaren eller om den sökande återtar ansökan. 2) 2 år efter det att be- slutet om anställning har vunnit laga kraft. 3) Vid preskriptionsavbrott enligt diskrimineringslagen (2008:567) får handlingar istället gallras först då den väckta talan avslutats genom dom eller beslut som vunnit laga kraft. Avser den bakgrundskontroll som kan göras på sökande som ska anställas eller anlitas. Avser inte handlingar rörande den som anställts eller anlitats. Handlingar rörande tystnadsplikt. När de inte behövs för verksamheten. Kan benämnas som till exempel: – Sekretessbevis. – Sekretessförbindelser. – Tystnadspliktsförbindelser. Förteckningar över leverantörers personal som är behörig att komma åt eller ta emot myndighetens information. När de inte behövs för verksamheten. Larmlistor. När de inte behövs för verksamheten. Avser listor med kontaktuppgifter för att nå personal vid t.ex. händelser av kris. Handlingar vid ansökan, utlämnande eller återlämnande av tjänstekort. När de inte behövs för verksamheten. Avser till exempel: – Ansökningar om tjänstekort. – Beställningshand- lingar. – Kvittenser. Uppgifter i tjänstekortsregister. När de inte behövs för verksamheten. Tjänstekort. När kortet har återlämnats. 12 RA-FS 2021:3 Handlingar Gallring Anmärkningar Förlustanmälningar av tjänstekort. När de inte behövs för verksamheten. Fysisk säkerhet Handlingar rörande säkerhetsåtgärder för att förhindra otillåten fysisk åtkomst till, skador på och störningar i tillgången till organisationens information och informationssystem. När de inte behövs för verksamheten. Avser handlingar och uppgifter rörande: – Tillträdesbegränsning till olika delar av verksamheten, till exempel besökshantering eller hantering av kort, koder, nycklar eller liknande . – Skydd mot yttre och miljörelaterade hot. – Upptäckande funktioner till exempel yttre och inre larm och objektslarm eller annan systematisk bevakning. – Personell bevakning, t.ex. rapport efter vaktbolags utryckning. Ljud- och bildupptagningar vid kamerabevakning. När de inte behövs för verksamheten. Handlingar som har överförts till ett ärende gallras enligt reglerna för ärendet i övrigt. Incidenthantering Handlingar rörande incidenter och avvikelser. När de inte behövs för verksamheten. Avser handlingar om incidenter och av- vikelser rörande till exempel information, it och personal och som efter en tid förlorar betydelse för verksamheten. Avser inte handlingar som: – Ingår i eller leder till brottsutredningar. 13 Handlingar Gallring Anmärkningar RA-FS 2021:3 – Leder till att betydande åtgärder eller ändringar vidtas i sådant som till exempel interna regelverk eller informationssystem. – Redogör för att och hur incidenten påverkat riktighet, äkthet, autenticitet, tillförlitlighet eller integritet i handlingar som ska bevaras. – Redogör för inci- denter som innebär otillåten gallring. 14 RA-FS 2021:3 Bilaga 2 Gallring av säkerhetsskyddshandlingar Myndigheter får eller ska gallra handlingar enligt nedan Handlingar Gallring Anmärkningar Handlingar och lagringsmedium Kvittenser av handlingar eller lagringsmedium. 1) 10 år efter utgången av det år då handlingen i säkerhetsskyddsklassen konfidentiell eller hemlig har lämnats tillbaka. 2) 10 år efter utgången av det år då lagringsmediet i säkerhetsskyddsklassen konfidentiell eller hemlig förstördes eller skrevs över. 3) 25 år efter utgången av det år då handlingen i säkerhetsskyddsklassen kvalificerat hemlig har lämnats tillbaka. 4) 25 år efter utgången av det år då lagringsmediet i säkerhetsskyddsklassen kvalificerat hemlig förstördes eller skrevs över. Avser till exempel: – Kvitton. – Delgivningskvittenser. – Delgivningslistor. – Uppgifter i register och liggare – Kvittensposter. För myndigheter som tillämpar Säkerhetspolisens föreskrifter om säkerhetsskydd finns inget krav om kvittenser för handlingar eller lagringsmedium i säkerhetsskyddsklassen konfidentiell eller lägre. Dokumenterade beslut om att medföra hand- ling i säkerhetsskyddsklass konfidentiell eller hemlig från myndighets lokaler eller områden. 1) 10 år efter utgången av det år då beslutet om att medföra handling i säkerhetsskyddsklass konfidentiell eller hemlig har upphört att gälla. 2) 25 år efter utgången av det år då beslutet om att medföra handling i säkerhetsskyddsklass kvalificerat hemlig har upphört att gälla. 15 Handlingar Gallring Anmärkningar RA-FS 2021:3 Dokumenterade överenskommelser om distribution av handlingar med annat land eller mellanfolklig organisation. 10 år efter utgången av det år då beslutet har upphört att gälla. Samförvaringsbeslut. 1) Beslut som omfattar handlingar med uppgifter i säkerhetsskyddsklassen konfidentiell eller hemlig får gallras 10 år efter nytt beslut. 2) Beslut som omfattar handlingar i säkerhetsskyddsklassen kvalificerat hemlig får gallras 25 år efter nytt beslut. Avser de fall där myndigheten dokumenterar beslut om att ett förvaringsutrymme får användas gemensamt av flera personer. Dokumenterade beslut om gemensam användning av säkerhetsskyddsklassificerade handlingar. 1) Beslut som omfattar handlingar i säkerhetsskyddsklassen konfidentiell eller hemlig får gallras 10 år efter nytt beslut. 2) Beslut som omfattar handlingar i säkerhetsskyddsklassen kvalificerat hemlig får gallras 25 år efter nytt beslut. Avser de fall där myndigheten dokumenterar beslut om gemensam användning av säkerhetsskyddsklassificerade handlingar. Med gemensam användning avses att en avgränsad grupp av personer ges åtkomst till säkerhetsskyddsklassificerade handlingar som är gemensamma för gruppen. Dokumenterade godkännanden av lagringsmedium. 1) 10 år efter utgången av det år då lagringsmediet avsedd för att behandla uppgifter i säkerhetsskyddsklassen konfidentiell eller hemlig inte längre används för att behandla säker- hetsskyddsklassificerade uppgifter. 16 RA-FS 2021:3 Handlingar Gallring Anmärkningar 2) 25 år efter utgången av det år då lagringsmediet avsedd för att behandla uppgifter i säkerhetsskyddsklassen kvalificerat hemlig förstörts. Uppgifter i förteckningar över lagringsmedium som innehåller eller innehållit uppgifter i säkerhetsskyddsklassen konfidentiell eller hemlig. 1) 10 år efter utgången av det år då lagringsmediet med uppgifter i säkerhetsskyddsklassen konfidentiell eller hem- lig förstördes eller skrevs över. 2) 25 år efter utgången av det år då lagringsmediet med uppgifter i säkerhetsskyddsklassen kvalificerat hemlig förstördes eller skrevs över. Dokumentation över förstörda handlingar eller lagringsmedium. 1) 10 år efter utgången av det år då handlingen i säkerhetsskyddsklassen konfidentiell eller hemlig förstördes. 2) 10 år efter utgången av det år då notering gjordes om att lagringsmediet i säkerhetsskyddsklassen konfidentiell eller hemlig har förstörts. 3) 25 år efter utgången av det år då handlingen i säkerhetsskyddsklassen kvalificerat hemlig förstördes. 4) 25 år efter utgången av det år då notering gjordes om att lagringsmediet i säkerhetsskyddsklassen kvalificerat hemlig förstörts. Avser till exempel: – Förstöringsrapporter. – Förstöringslistor. – Makuleringslistor. – Kassations– och avyttringsprotokoll/- rapporter. För myndigheter som tillämpar Säkerhetspolisens föreskrifter om säkerhetsskydd finns inget krav om att dokumentera förstöring av handlingar eller lagringsmedium i säkerhetsskyddsklassen konfidentiell eller lägre. 17 Handlingar Gallring Anmärkningar RA-FS 2021:3 Handlingar och upp- gifter rörande hantering av användaråtkomst eller behörighetskontroll till handlingar och informationssystem. 1) 10 år efter att be- hörigheten eller motsvarande har upphört att gälla för handlingar och uppgifter i säkerhetsskyddsklass konfi- dentiell eller hemlig. 2) 25 år efter att behörigheten eller motsvarande har upphört att gälla för handlingar och uppgifter i säkerhetsskyddsklass kvalificerat hemlig. Avser handlingar och uppgifter om att styra och begränsa åtkomst till handlingar och informationssystem, säkerställa behörig användaråtkomst och att förhindra obehörig åtkomst till informationssystem och tjänster samt att förhindra obehörig åtkomst till system och tillämpningar. Avser till exempel: – Dokumenterade beslut om tilldelning av användaråtkomst, användaridentitet och behörighet. – Förteckningar över användare med åtkomsträttigheter eller behörigheter. – Användaridentiteter. – Handlingar rörande autentisering och behörighetskontroll. – Hantering av lösenord. – Användar-, administratörs-, och testkonton. För myndigheter som tillämpar Säkerhetspolisens föreskrifter om säkerhetsskydd gäller dokumentationskrav endast för säkerhetsskyddsklassen hemlig eller lägre. 18 RA-FS 2021:3 Handlingar Gallring Anmärkningar Handlingar rörande skyddad transport av säkerhetsskyddsklassificerade handlingar, lagringsmedium och skyddsvärd materiel. 1) 10 år efter utgången av det år då transporten genomfördes av hand- lingar, lagringsmedium eller materiel i säkerhetsskyddsklassen konfidentiell eller hemlig. 2) 25 år efter utgången av det år då transporten genomfördes av handlingar, lagringsmedium eller materiel i säkerhetsskyddsklassen kvalificerat hemlig. 3) När de inte behövs för verksamheten då transporten genomförts av handlingar, lagringsmedium eller materiel som inte faller under klassificeringarna ovan. Avser till exempel: – Transportsäkerhetsanalyser. – Transportsäkerhetsplaner. – Beslut om transportnivåer. Signalskyddstjänst Förkortningar som används i Försvarsmaktens föreskrifter om signalskyddstjänsten. SG = Signalskyddsgrad R = Restricted C = Confidential S = Secret TS = Top Secret TRF = Trafikskydd Handlingar rörande hantering av incidenter. 10 år efter att ärendet om incidenten har avslutats eller 10 år efter det att handlingen om incident kommit in. Avser incidenter med signalskyddsnycklar, signalskyddsmateriel, aktiva kort eller mjuka certifikat. Avser till exempel: – Anmälningar. – Handlingar och uppgifter i utredningar. – Beslut och meddelande om åtgärder. – Information till Försvarsmakten. 19 Handlingar Gallring Anmärkningar RA-FS 2021:3 Med handlingar som kommit in till myndigheten avses inkomna meddelanden om till exempel vilka åtgärder som ska vidtas vid incidenter. Avser inte handlingar som: – Ingår i eller leder till brottsutredningar. – Leder till att betydande åtgärder eller ändringar vidtas i sådant som interna regelverk. Beställningar av signalskyddsnycklar. Efter att signalskyddsnycklarna har distribuerats. Mottagningsbevis rörande signalskyddsnycklar. När de inte behövs för verksamheten. Kvitton och kvittenslistor för signalskyddsnycklar och delgivning av signalskyddsnycklar med beteckningarna SG S, SG C, SG R eller SG TRF. 10 år efter att respektive nyckel har upphört att gälla. Kvitton och kvittenslistor för signalskyddsnycklar och delgivning av signalskyddsnycklar med beteckningen SG TS. 25 år efter att respektive nyckel har upphört att gälla. Förteckningar över signalskyddspersonal som har tillgång till signalskyddsnycklar för signalskyddsnycklar med beteckningarna SG S, SG C, SG R eller SG TRF. 10 år efter den sista anteckningen. 20 RA-FS 2021:3 Handlingar Gallring Anmärkningar Förteckningar över signalskyddspersonal som har tillgång till signalskyddsnycklar för signalskyddsnycklar med beteckningen SG TS. 25 år efter den sista anteckningen. Uppgifter i register över signalskyddsutbildad personal. När de inte behövs för verksamheten. Dokumenterade individuella resultat från utbildning i signalskydd. När de inte behövs för verksamheten. Avser handlingar som upprättas efter genomförd signalskyddsutbildning och som skickas till Totalförsvarets signalskyddsskola. Dokumentation över produktion av signalskyddsnycklar. 10 år efter att respektive nyckel har upphört att gälla. Signalskyddsnycklar. Ska gallras när signalskyddsnycklarna har upphört att gälla eller när de inte behövs för verksamheten. Avser även avskrifter eller kopior av signalskyddsnycklar. Av Försvarsmaktens föreskrifter om signalskyddstjänsten ska varje signalskyddsnyckel snarast förstöras när den har upphört att gälla eller när den inte längre behövs för tjänsten. Dokumenterade tillstånd för avskrift eller kopia av signalskyddsnycklar. 10 år efter att respektive nyckel har upphört att gälla. Dokumentation över att avskrifter eller kopior har gjorts. 10 år efter det att respektive nyckel har upphört att gälla. Följesedlar för signalskyddsnycklar med beteckningarna SG S, SG C, SG R eller SG TRF. 10 år efter det att respektive nyckel har upphört att gälla. Följesedlar för signalskyddsnycklar med beteckningen SG TS. 25 år efter det att respektive nyckel har upphört att gälla. 21 Handlingar Gallring Anmärkningar RA-FS 2021:3 Dokumenterade beslut om utförsel av signalskyddsnycklar. 10 år efter att signalskyddsnycklarna inte behövs i verksamheten. Dokumenterade resultat av inventering av signalskyddsnycklar med beteckningarna SG S, SG C, SG R eller SG TRF. 10 år efter inventeringsdatum. Dokumenterade resultat av inventering av signalskyddsnycklar med beteckningen SG TS. 25 år efter inventeringsdatum. Trafiklistor över mottagna och skickade krypterade meddelanden. När de inte behövs för verksamheten. Dokumentation av förstöring av signalskyddsnycklar med beteckningarna SG S, SG C, SG R eller SG TRF. 10 år efter att de har förstörts. Dokumentation av förstöring av signalskyddsnycklar med beteckningarna SG TS. 25 år efter att de har förstörts. Uppgifter i register över samtliga signalskyddsnycklar. När de inte behövs för verksamheten. Planer för internkontroll av signalskyddstjänst. När planen har reviderats. Protokoll från internkontroll av signalskyddstjänst. 10 år efter utgången av det år då de upprättades. Dokumenterade resultat vid signalkontroll. 10 år efter utgången av det år då de upprättades. Avser inte anmälningar till Försvarsmakten. Kvittenser av signalskyddsmateriel. Efter att materielen har återlämnats. 22 RA-FS 2021:3 Handlingar Gallring Anmärkningar Uppgifter i register över signalskyddsmateriel. När de inte behövs för verksamheten. Avser de uppgifter en verksamhet registrerar om till exempel var skyddsmaterial finns och dess individnummer. Dokumenterade resultat av inventering av signalskyddsmateriel. 5 år efter utgången av det år då inventeringen utfördes. Dokumenterade överenskommelser om utlån av signalskyddsmateriel. 10 år efter utgången överenskommelse. Dokumenterade godkännande om utförsel av signalskyddsmateriel utanför svenskt territorium. 10 år efter att utförseln inte längre är aktuell. Avser inkomna godkännanden från Försvarsmaktens högkvarter. Mottagningsbevis till aktiva kort och mjuka certifikat. När de inte behövs för verksamheten. Följesedlar vid mottagning av aktiva kort och mjuka certifikat. 10 år efter det att följesedeln upprättats. Kvitton och kvittensliggare om aktiva kort som innehåller certifikat och mjuka certifikat. 10 år efter det att det aktiva kortet som innehåller certifikat har återlämnats eller det mjuka certifikatet upphört att gälla. Kvitton och kvittensliggare om aktiva kort som inte innehåller certifikat. När de inte behövs för verksamheten. Uppgifter i register om aktiva kort och mjuka certifikat. När de inte behövs för verksamheten. Avser de uppgifter en verksamhet registrerar om till exempel var aktiva kort och mjuka certifikat finns, innehavare och dess serienummer. Mjuka certifikat. När mjukt certifikat upphört att gälla eller när de inte behövs för verksamheten. 23 Handlingar Gallring Anmärkningar RA-FS 2021:3 Informationssystem Uppgifter och handlingar som rör säkerhet avseende utveckling och ändringar i informationssystem. När de inte behövs för verksamheten. Avser handlingar och uppgifter som syftar till att säkerställa att förändringar är säkra, kontrollerade, godkända och införs på ett systematiskt, spårbart och kontrollerat sätt. Kan ingå i en samlad dokumentation avseende utveckling och ärenden om ändringar. Avser till exempel: – Ändringsförslag. – Lösningsförslag. – Rapporter om genomförda förändringar. – Handlingar om test. Avser inte den dokumentation som behövs för att dokumentera elektroniska handlingar som ska bevaras. Förteckningar över informationstillgångar. När de inte behövs för verksamheten. Avser förteckningar som identifierar och kartlägger sådant som maskinvaruenheter, programvaror och tjänster i syftet att skaffa överblick över tillåtna och otillåtna enheter och programinstallationer och ha kontroll över gällande konfiguration. Handlingar och uppgifter som beskriver ingående delar i informationssystemet som har betydelse för säkerhetskänslig verksamhet. När de inte behövs för verksamheten. Avser dokumentation som redogör för de säkerhetsåtgärder som avser informationssystemet och vad som är av betydelse för att kunna upprätthålla säkerheten i och kring systemet. 24 RA-FS 2021:3 Handlingar Gallring Anmärkningar Kan ingå i en samlad dokumentation som beskriver ingående delar i informationssystemet. Avser inte den dokumentation som behövs för att dokumentera elektroniska handlingar som ska bevaras. Handlingar rörande ändringshantering inom it-drift. När de inte behövs för verksamheten. Avser handlingar och uppgifter rörande säkerheten vid ändringar i informationssystem. Kan ingå i en samlad dokumentation som rör ändringar. Avser till exempel: – Uppgifter i register över ändringar. – Bedömningar av den potentiella påverkan, inbegripande påverkan på informationssäkerhet. – Verifieringar av att informationssäkerhetskrav är uppfyllda. Avser inte den dokumentation som behövs för att dokumentera elektroniska handlingar som ska bevaras. Handlingar rörande kapacitetshantering. När de inte behövs för verksamheten. Avser handlingar och uppgifter om när användning av informationssystem övervakas och justeras samt när prognoser görs av framtida kapacitetskrav. Kan ingå i en samlad dokumentation om kapacitetshantering. 25 Handlingar Gallring Anmärkningar RA-FS 2021:3 Handlingar rörande skydd mot skadlig kod. När de inte behövs för verksamheten. Avser till exempel inkomna program och handlingar rörande uppdatering program för upptäckt av skadlig kod m.m. Uppgifter i loggar som registrerar händelser som kan påverka säkerheten i eller kring ett informationssystem. 1) 10 år efter utgången av det år då uppgifterna registrerades om de rör uppgifter i säkerhetsskyddsklass konfidentiell eller hemlig. 2) 25 år efter utgången av det år då uppgifterna registrerades om de rör uppgifter i säkerhetsskyddsklass kvalificerat hemlig. 3) 5 år efter utgången av det år då uppgifterna registrerades om för uppgifter som inte faller under klassificeringarna ovan. Avser manuell eller automatisk registrering av uppgifter i loggar som syftar till att upptäcka och utreda sådant som skadlig eller otillåten påverkan, obehörig åtkomst och funktionsstörningar i informationssystem. Kan benämnas som säkerhetsloggar. Dokumenterade analyser av innehållet i säkerhetsloggar. 1) 10 år efter utgången av det år då analysen upprättats över uppgifter i säkerhetsskyddsklass konfidentiell eller hemlig. 2) 25 år efter utgången av det år då analysen upprättats över uppgifter i säkerhetsskyddsklass kvalificerat hemlig. 3) 5 år efter utgången av det år då analysen upprättats över uppgifter som inte faller under klassificeringarna ovan. Avser även de uppgifter i loggar som identifierats, samlats in eller kopierats för att ligga till grund för analys. Uppgifter i analyser kan bestå av t.ex. beskrivning av händelser som förändringar och störningar i driften, bedömd orsak och vidtagen åtgärd. Kan ingå i myndighetens incidenthantering. Personalsäkerhet Anmälan till Säkerhetspolisen om kontaktpersoner som beslutar om registerkontroll. När de inte behövs för verksamheten. 26 RA-FS 2021:3 Handlingar Gallring Anmärkningar Handlingar i grundutredningar inom säkerhetsprövningar för den som inte har anställts eller anlitats. 1) När de inte behövs för verksamheten om prövningen avbryts av arbetsgivaren eller om den sökande återtar ansökan. 2) 2 år efter det att beslutet om anställning har vunnit laga kraft. 3) Vid preskriptionsavbrott enligt diskrimineringslagen (2008:567) får handlingar istället gallras först då den väckta talan avslutats genom dom eller beslut som vunnit laga kraft. Avser dokumentation inom grundutredningar av sådant som säkerhetsprövningsintervju, bedömning av betyg, referenser eller information hämtad från öppna källor på internet och som myndigheten bedömer vara allmänna handlingar. Med avbruten prövning avses till exempel de fall när tjänster har dragits tillbaka efter annonsering eller om behovet av deltagande i säkerhetskänslig verksamhet upphört under tiden som säkerhetsprövningen pågår. Handlingar i grundutredningar inom säkerhetsprövningar som är utöver det dokumenterade resultatet för den som anställts eller anlitats. När de inte behövs för verksamheten. Avser dokumentation inom grundutredningar av sådant som säkerhetsprövningsintervju, bedömning av betyg, referenser eller information hämtad från öppna källor på internet och som myndigheten bedömt vara allmänna handlingar. Avser inte det dokumenterade resultatet av säkerhetsprövningen enligt 5 kap. 5 § säkerhetsskyddsförordningen (2018:658). Avser inte säkerhetsskyddsbeslut i personärende. 27 Handlingar Gallring Anmärkningar RA-FS 2021:3 Dokumenterade samtycken till registerkontroll för den som har anställts eller på annat sätt ska delta i den säkerhetskänsliga verksamheten. När deltagandet i den säkerhetskänsliga verksamheten avslutats. Dokumenterade samtycken till registerkontroll för den som inte har anställts eller anlitats. När beslutet om att anställa en annan kandidat har vunnit laga kraft eller när anställningsärendet avbryts och ingen anställs . Framställningar om registerkontroll för den som har anställts, är anställd eller på annat sätt ska delta, eller deltar, i den säkerhetskänsliga verksamheten. När de inte behövs för verksamheten. Avser när myndigheten tagit en kopia av framställan till Säkerhetspolisen. Framställningar om registerkontroll för den eller de som inte har anställts eller anlitats. När anställningsbeslutet för den som fått tjänsten har vunnit laga kraft eller efter beslut om att person inte ska anlitas eller anställningsärendet avbryts och ingen anställs. Avser när myndigheten tagit en kopia av fram- ställan till Säkerhetspolisen. Avanmälningar eller ändringar av den kontrollerades förhållanden. När de inte behövs för verksamheten. Avser de fall myndigheten tagit kopia på den skriftliga underrättelsen som skickas till Säkerhetspolisen. Handlingar rörande tystnadsplikt. När de inte behövs för verksamheten. Kan benämnas som till exempel: – Sekretessbevis. – Sekretessförbindelser. – Tystnadspliktsförbindelser. 28 RA-FS 2021:3 Handlingar Gallring Anmärkningar Fysisk säkerhet Handlingar som syftar till att förebygga att endast behöriga får tillträde till byggnader som används för säkerhetskänslig verksamhet. 1) 2 år efter att tillståndet har upphört att gälla eller att ansökan har avslagits till byggnader som rymmer handlingar i säkerhetsskyddsklassen begränsat hemlig. 2) 10 år efter att tillståndet har upphört att gälla eller att ansökan har avslagits till byggnader som rymmer handlingar i säkerhetsskyddsklassen konfidentiell upp till hemlig 3) 25 år efter att tillståndet har upphört att gälla eller att ansökan har avslagits till byggnader som rymmer handlingar säkerhetsskyddsklassen kvalificerat hemlig. Avser handlingar över vilka som har behörighet att tillträda olika delar verksamheten där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter och handlingar eller att få insyn i säkerhetskänslig verksamhet. Avser både områden, byggnader och andra anläggningar eller objekt. Avser till exempel: – Besökstillstånd. – Avslagna ansökningar. – Uppgifter i förteckningar över besökare. Uppgifter i förteckningar över kort, koder, nycklar eller liknande till byggnader som används för säkerhetskänslig verksamhet. 1) 2 år efter senast införda uppgift avseende byggnader som rymmer handlingar i säkerhetsskyddsklassen begränsat hemlig. 2) 10 år efter senast införda uppgift avseende byggnader som rymmer handlingar i säkerhetsskyddsklassen begränsat hemlig upp till hemlig. 3) 25 år efter senast införda uppgift avseende byggnader som rymmer handlingar i säkerhetsskyddsklassen kvalificerat hemlig. Avser både områden, byggnader eller utrymmen. 29 Handlingar Gallring Anmärkningar RA-FS 2021:3 Handlingar rörande teknisk bevakning. När de inte behövs för verksamheten. Avser handlingar och uppgifter i och rörande upptäckande funktioner till exempel yttre och inre larm och objektslarm eller annan systematisk bevakning. Avser även handlingar som rör säkerhetsteknisk dokumentation för sådant som inbrottslarm, överfallslarm, brandlarm, passersystem och kamerasystem. Ljud- och bildupptagningar vid kamerabevakning. När de inte behövs för verksamheten. Handlingar som har överförts till ett ärende gallras eller bevaras enligt reglerna för ärendet i övrigt. Handlingar rörande personell bevakning. När de inte behövs för verksamheten. Avser till exempel rapporter från vaktbolag. Handlingar som har överförts till ett ärende gallras eller bevaras enligt reglerna för ärendet i övrigt. Handlingar rörande skyddad transport av säkerhetsskyddsklassificerade handlingar och skyddsvärd materiel. När de inte behövs för verksamheten. Avser till exempel: – Transportsäkerhetsanalyser. – Transportsäkerhetsplaner. – Beslut om transportnivåer. 30 RA-FS 2021:3 Handlingar Gallring Anmärkningar Incidenthantering Handlingar rörande incidenter och avvikelser. 1) 10 år efter utgången av det år då ärenden om incidenter i säkerhetsskyddsklass konfidentiell eller hemlig avslutades. 2) 25 år efter utgången av det år då ärenden om incidenter i säkerhetsskyddsklass kvalificerat hemlig avslutades. 3) När de inte behövs för verksamheten då incidenten inte faller under klassificeringarna ovan. Avser handlingar om incidenter och avvikelser rörande till exempel information, it och personal och som efter en tid förlorar betydelse för verksamheten. Avser inte handlingar som: – Ingår i eller leder till brottsutredningar. – Leder till att betydande åtgärder eller ändringar vidtas i sådant som t.ex. interna regelverk eller informationssystem. – Redogör för att och hur incidenten påverkat riktighet, äkthet, autenticitet, tillförlitlighet eller integritet i handlingar som ska bevaras. – Redogör för incidenter som innebär otillåten gallring. Elanders Sverige AB, 2021

Till sökformuläret för RA-FS

I Riksarkivets generella föreskriftsserie (RA-FS) finns föreskrifter och allmänna råd som med några få undantag gäller för samtliga statliga myndigheter och enskilda organisationer som helt eller delvis omfattas av arkivlagstiftningen och Riksarkivets föreskriftsrätt.

Ansvarig utgivare för Riksarkivets generella föreskrifter (RA-FS) är chefsjuristen Jens Västberg.

Databasen innehåller samtliga giltiga föreskrifter och allmänna råd men det går även att söka på upphävda författningar. Till föreskrifterna kan det även finnas konsoliderade versioner, promemorior och vägledningar.

Konsoliderade versioner

Konsoliderade versioner är en sammanställning av alla bestämmelser, från grundförfattning till senaste ändringsförfattning.

För vissa RA-FS finns konsoliderade versioner. Dessa presenteras tillsammans med grundförfattningen under rubriken Ladda hem. Det är alltid de tryckta föreskrifterna som gäller i rättssammanhang. Kontrollera därför alltid texten mot de tryckta föreskrifterna. För noter, uppgift om bemyndigande och ikraftträdande- och övergångsbestämmelser, se respektive tryckt föreskrift.

Att konsolidera RA-FS är ett pågående arbete och sker löpande. Konsoliderade versioner finns för:

Läs mer om RA-FS.

Modell över Riksarkivets generella föreskrifter.